我有一个WPF应用程序,我正在
string someone = TextBox.text;
我想在以下查询中使用它
query = " Select * From Table Where Title = someone "
我应该如何在查询中使用变量?
答案 0 :(得分:20)
你可以这样做
query = "Select * From Table Where Title = " + someone;
但这很糟糕,可以打开SQL注入
您应该只使用参数化查询
这样的事情应该让你开始
using (var cn = new SqlClient.SqlConnection(yourConnectionString))
using (var cmd = new SqlClient.SqlCommand())
{
cn.Open();
cmd.Connection = cn;
cmd.CommandType = CommandType.Text;
cmd.CommandText = "Select * From Table Where Title = @Title";
cmd.Parameters.Add("@Title", someone);
}
来自Jon Skeet的答案,因为他比我的更完整
有关详细信息,请参阅SqlCommand.Parameters的文档。
基本上,您不应出于各种原因将您的值嵌入SQL本身:
答案 1 :(得分:13)
您应该使用参数化SQL查询:
query = "SELECT * From TableName WHERE Title = @Title";
command.Parameters.Add("@Title", SqlDbType.VarChar).Value = someone;
有关详细信息,请参阅SqlCommand.Parameters的文档。
基本上,您不应出于各种原因将您的值嵌入SQL本身:
答案 2 :(得分:2)
最简单的方法是使用C#Prepared sql。 Example on this post。您不必担心转义sql字符串中的字符或其他任何内容
答案 3 :(得分:1)
declare @SqlQuery varchar(2000), @Fromdate varchar(20), @Todate varchar(20)
set @Fromdate='01 jan 2017'
set @Todate='30 mar 2017'
set @SqlQuery='select * from tblEmployee where tblEmployee.JDate between '''+ @Fromdate + ''' and '''+ @Todate+ ''''
print @SqlQuery