我正在尝试在C#WPF上开发应用程序,并且尝试将请求中的列名称设置为@variable。我解释一下,我有一个带有一些选项的comboBox。这些选项是我专栏的名称。当我选择这些选项之一时,我必须在textBox中写一个词。当我单击验证按钮时,执行表显示的函数需要两个参数:组合框和文本框的值。并且想知道我是否可以发出
这样的请求SELECT * FROM customer WHERE @boxContent = @text
我认为这就是问题所在。
这是我的xml.cs代码:
private void Button_Click_1(object sender, RoutedEventArgs e)
{
//InitializeComponent();
text = testBox.Text;
afficheListe.ListeModif(text,boxContent);
}
private void ComboBox_SelectionChanged(object sender, SelectionChangedEventArgs e)
{
if (ID.IsSelected)
{
boxContent = "id_client";
}
else if (Nom.IsSelected)
{
boxContent = "nom";
}
else if (Prenom.IsSelected)
{
boxContent = "prenom";
}
else if (Sexe.IsSelected)
{
boxContent = "sexe";
}
else if (DateNaissance.IsSelected)
{
boxContent = "date_Naiss";
}
else if (Mail.IsSelected)
{
boxContent = "mail";
}
else if (Adresse.IsSelected)
{
boxContent = "adresse";
}
else if (Pays.IsSelected)
{
boxContent = "pays";
}
}
这是我的请求代码:
public void ListeModif(string text, string boxContent)
{
bdd.connection.Open();
MySqlCommand cmd = bdd.connection.CreateCommand();
cmd.Parameters.AddWithValue("@text", text);
cmd.Parameters.AddWithValue("@boxContent", boxContent);
cmd.CommandText = " SELECT * FROM client WHERE @boxContent = @text";
MessageBox.Show(cmd.ToString());
cmd.ExecuteNonQuery();
MySqlDataReader reader = cmd.ExecuteReader();
clients.Clear();
while (reader.Read())
{
clients.Add(new Client()
{
Id = Convert.ToInt32(reader["id_Client"]),
Nom = Convert.ToString(reader["nom"]),
Prenom = Convert.ToString(reader["prenom"]),
Sexe = Convert.ToString(reader["sexe"]),
Date_Naissance = Convert.ToDateTime(reader["date_Naiss"]),
Mail = Convert.ToString(reader["mail"]),
Adresse = Convert.ToString(reader["adresse"]),
Pays = Convert.ToString(reader["pays"])
});
}
reader.Close();
bdd.connection.Close();
}
使用调试器时,cmd
变量的值为:
MySql.Data.MySqlClient.MySqlCommand}
希望我很好地解释了我的问题。
答案 0 :(得分:1)
并且想知道我是否可以发出类似请求
“选择*来自客户,其中@boxContent = @text”
不,您不能。在SQL中(通常,不仅在SQL Server中),您可以用参数替换恒定值。您不能替换其他类型的值:
换句话说,参数替换是 not 字符串替换。构造查询字符串时,可以在应用程序中执行此操作。但是您不能将值作为参数传递。注意:请小心在应用程序中执行此操作,因为代码容易受到SQL注入攻击。
有时候,我会通过以下方式处理标识符替换:
SET @SQL = 'SELECT * FROM customer where @boxContent = @text';
SET @SQL = REPLACE(@SQL, '@boxContent', @boxContent);
(这是T-SQL语法。)也就是说,在执行查询之前将替换该值。
这似乎是一个奥术限制。但是,准备好的语句的目的之一是预编译查询-节省了解析,编译和优化查询的开销。在您有许多小的查询都在处理相同表单的环境中,这可能是重要的性能增强。
答案 1 :(得分:1)
不,那是错误的。您不能像这样动态替换列名。相反,您可以像下面这样操作,并替换boxContent
变量的值
cmd.CommandText = $"SELECT * FROM client where {boxContent} = @text ";
如果您使用的C#版本低于6,则使用string.Format()
cmd.CommandText = string.Format("SELECT * FROM client where {0} = @text ", boxContent);