Question

我正在尝试为C＃中的参数查询构建SQL，以查询包含LIKE %%命令的查询。

这是我想要实现的目标（请注意数据库是Firebird）

var SQL = string.format("SELECT * FROM {0} WHERE {1} LIKE '%?%'", TABLE, NAME);
 cmd.Parameters.AddWithValue(NAME, "JOHN");

现在我尝试了每一个排列来使参数起作用，我已经尝试过了;

将%字符添加到参数

cmd.Parameters.AddWithValue(NAME, "%" + "JOHN" + "%");

和

cmd.Parameters.AddWithValue(NAME, "'%" + "JOHN" + "%'");

我似乎无法使其工作，如何使用LIKE查询的参数来工作。

欢迎提出建议！

Answer 1

查询中不能包含字符串文字内的参数。将整个值设为参数，并将通配符添加到字符串中：

var SQL = string.format("SELECT * FROM {0} WHERE {1} LIKE ?", TABLE, NAME);
Cmd.Parameters.AddWithValue(NAME, "%" + "JOHN" + "%");

Answer 2

var SQL = string.Format("SELECT * FROM {0} WHERE {1} LIKE '%' + ? + '%'", TABLE, NAME);
Cmd.CommandText = SQL;
Cmd.Parameters.Add("?", SqlDbType.VarChar, 50).Value = "JOHN";

Answer 3

在过去这样做的时候，我只是将它集成到sql中，确保我用问号替换单引号来处理sql注入。例如：

var SQL = string.format("SELECT * FROM {0} WHERE {1} LIKE '%{2}%'",
  TABLE,
  NAME,
  JOHN.Replace("'","?"));

C＃构造参数查询SQL - LIKE％

3 个答案: