Parameters.AddWithValue方法在SQL语句的 Where 字句中的用法

最新推荐文章于 2022-01-19 10:16:42 发布
最新推荐文章于 2022-01-19 10:16:42 发布 · 216 阅读 · 0
文章标签:

#SQL #SQL Server #ASP.net #ASP #Microsoft

本文探讨了在使用Parameters.AddWithValue方法时遇到的问题及解决办法。详细解释了为何在某些情况下该方法会导致SQL语法错误,并提供了一个正确的代码示例。

今天晚上看论坛,有人提问说,Parameters.AddWithValue方法在有些情况下不好使,他的写法是这样的:

string strWhere = "'%美%'"; strSql = "SELECT * FROM area Where [name] like @strWhere";//这个就不好使 cmd.Parameters.AddWithValue("@strWhere", strWhere);

这是因为,ASP.NET在生成SQL语句时,会在Like后面再加上一次单引号,造成错误,如果打开 SQL Server的跟踪管理器,可以看到执行的语句如下

exec sp_executesql N'SELECT * FROM Article Where [Title] like @strWhere',N'@strWhere nvarchar(5)',@strWhere=N'%为什么%'

不难理解,在 OldDbCommand 中也会有类似的做法。

正确的代码为:

string connectionString = @"Provider=Microsoft.Jet.OLEDB.4.0;Data Source=|DataDirectory|\aspxWeb.mdb;"; OleDbConnection con = new OleDbConnection(connectionString); con.Open(); OleDbCommand cmd = new OleDbCommand(); cmd.Connection = con; string strWhere = "%孟宪会%"; string strSql = "SELECT * FROM Document Where [Author] like @strWhere"; cmd.Parameters.AddWithValue("@strWhere", strWhere); cmd.CommandText = strSql; OleDbDataReader dr = cmd.ExecuteReader(); while (dr.Read()) { Response.Write(dr["Author"] + " : " + dr["Title"] + "<br>"); } con.Close(); con.Dispose();

iteye_15153
关注
asp.net Parameters.AddWithValue方法SQL语句Where 字句中的用法
10-30
ASP.NET的`Parameters.AddWithValue`方法SQL语句的`WHERE`子句中使用时,需要注意其潜在的问题。这个方法是用来动态地添加SQL参数,通常用于防止SQL注入攻击,提高代码的可读性和可维护性。然而,当涉及到特定的...
Parameters.AddWithValue 方法SQL语句 Where 字句中的用法
Yao,Mane
04-24 1494
今天晚上看论坛,有人提问说,Parameters.AddWithValue方法在有些情况下不好使,他的写法是这样的:  string strWhere = "%美%"; strSql = "SELECT * FROM area Where [name] like @strWhere";//这个就不好使 cmd.Parameters.AddWithValue("@strWhere", s
使用 SqlCommand.Parameters.AddWithValue填充SQL语句中的参数@SNO。防止SQL攻击
cuibaoming的博客
01-19 1034
DataSet ds = new DataSet(); // 定义查询语句 string sql = “SELECT SNO, SName, Gender, Birthday, Mobile, Email, HomeAddress, PhotoPath FROM Student where SNO LIKE @SNO AND SName Like @SName AND Mobile Like @Mobile”;// if (cmbSex.Text.Contains(“女”)) { sql += " a
Parameters.AddWithValue(“@参数”,value)方法
weixin_30788239的博客
05-24 246
以前用command方法执行存储过程增加参数时,总是先用cmd.Parameters.Add方法来设置参数和参数类型,再用Parameters[0].Value来给参数赋值。以前的一个动作代码示例: stringstrConn ="Data Source=.;Initial Catalog=HISDB;Integrated Security=True"; using...
好用的AddWithValue
Mr_SuperMan的专栏
07-18 1323
ADO.net中如果Command对象使用了带有”@”的占位符参数的SQL语句或存储过程,并且没有赋默认值的时候,通常需要给Command的Parameters集合中添加相应的参数。其目的在于给SQL中的占位符赋值,这个过程的写法有很多种,例: cmd.Parameters.Add(new SqlParameter("@ProductName", ProductName));cmd
//定义SQL语句,通过数据库指令对象执行添加操作 string query = "INSERT INTO Player " + "(GameId, PlayerId, PlayerName, isAI, Cash, Position, IsInJail, JailTurnsLeft, ProtectionCard) " + "VALUES (?,?,?,?,?,?,?,?,?)"; using (OleDbCommand command = new OleDbCommand(query, linkAccess)) { command.Parameters.AddWithValue("?", player.GameId); command.Parameters.AddWithValue("?", player.PlayerId); command.Parameters.AddWithValue("?", player.PlayerName); command.Parameters.AddWithValue("?", player.IsAI); command.Parameters.AddWithValue("?", player.Cash); command.Parameters.AddWithValue("?", player.Position); command.Parameters.AddWithValue("?", player.IsInJail); command.Parameters.AddWithValue("?", player.JailTurnsLeft); command.Parameters.AddWithValue("?", player.ProtectionCard); //command.Parameters.AddWithValue("?", player.OwnedComponentId); command.ExecuteNonQuery(); Console.WriteLine("添加成功"); } 这段代码有什么错误?我用的Access数据库,这个SQL语句到底错在哪里?
06-24
在Access数据库中使用`OleDbCommand`执行SQL插入操作时,可能会遇到多种错误。以下是一些常见的错误及其解决方案: ### 1. 参数化查询中的参数顺序问题 在使用参数化查询时,确保参数的顺序与SQL语句中的占位符顺序...
帮我把这个 // 插入数据到 applyinfo 表 string sqlInsert1 = $@" INSERT INTO myapply ( FlowId, TableId, Node, Nid, Nname, Theme, ReaderName, ReaderId, StateId, State, ReadTime, ApplyTime, factory ) VALUES ( @FlowId, @TableId, @Node, @Nid, @Nname, @Theme, @ReaderName, @ReaderId, @StateId, @State, @ReadTime, @ApplyTime, @factory )"; using (MySqlConnection conn = new MySqlConnection(AppSetting.PrmReadOnlyConnectionStringtest)) // 确保是可写连接 using (MySqlCommand cmdInsert = new MySqlCommand(sqlInsert1, conn)) { // 添加参数 cmdInsert.Parameters.AddWithValue("@FlowId", 7002); cmdInsert.Parameters.AddWithValue("@TableId", TableId); cmdInsert.Parameters.AddWithValue("@Node", "评委"); cmdInsert.Parameters.AddWithValue("@Nid", projectInfoForm.ApplicantId); cmdInsert.Parameters.AddWithValue("@Nname", projectInfoForm.ApplicantName); cmdInsert.Parameters.AddWithValue("@Theme", $"{projectInfoForm.ApplicantName}发起的TS-II系统评审流程"); cmdInsert.Parameters.AddWithValue("@ReaderName", name); cmdInsert.Parameters.AddWithValue("@ReaderId", id); cmdInsert.Parameters.AddWithValue("@StateId", PRMInitiateDate); cmdInsert.Parameters.AddWithValue("@State", 0); cmdInsert.Parameters.AddWithValue("@ReadTime", PRMInitiateDate); cmdInsert.Parameters.AddWithValue("@ApplyTime", PRMInitiateDate); cmdInsert.Parameters.AddWithValue("@factory",projectInfoForm.File_Factory); conn.Open(); int rowsAffected = cmdInsert.ExecuteNonQuery(); // 执行插入 if (rowsAffected > 0) { Console.WriteLine("PRMapplyinfo表插入成功"); } else { Console.WriteLine("PRMapplyinfo表插入失败"); } }像这样封装成方法 public DataTable GetPWD(string creatorid) { string sql = $@"SELECT id, userId, password, userName, corporation, factory, department, section, userArea, userEamil AS userEmail, userPhone, userPosition, rank, userRole, state, CreateTime, costcenter FROM user_table1 WHERE userId = @creatorid"; using (MySqlConnection conn = new MySqlConnection(AppSetting.PrmReadOnlyConnectionString)) using (MySqlCommand cmd = new MySqlCommand(sql, conn)) { cmd.Parameters.AddWithValue("@creatorid", creatorid); conn.Open(); using (MySqlConnector.MySqlDataAdapter adapter = new MySqlConnector.MySqlDataAdapter(cmd)) { DataTable dt = new DataTable(); adapter.Fill(dt); return dt; } } }
最新发布
09-30
cmdInsert.Parameters.AddWithValue("@Theme", $"{projectInfoForm.ApplicantName}发起的TS-II系统评审流程"); cmdInsert.Parameters.AddWithValue("@ReaderName", name); cmdInsert.Parameters.AddWithValue("@...
C#采用command.Parameters.AddWithValue书写like查询语句
06-02
你可以使用C#中的SqlCommand对象以及SqlParameter对象来执行带有LIKE操作符的查询语句。下面是一个示例代码: ```csharp string searchKeyword = "apple"; string query = "SELECT * FROM Products WHERE ...
Parameters用法
willonboy的专栏
08-02 6752
SQL = "Insert Into titledetail (DETAILS_NAME, DETAILS_EMAIL, DETAILS_SUBJECT, DETAILS_CONTENT, TITLES_ID)Values (?, ?, ?, ?, ?)"  建立参数        Cmd = New OleDbCommand(SQL, Conn) 建立Command对象        向S
遇到动态调用Parameters .AddWithValue()参数类型问题的解决方法
行本无涯
09-07 2697
SQL语句中用Parameters有什么好处
weixin_33967071的博客
10-09 274
SQL语句中使用parameters的好处: 1、提高SQL语句的性能:每个不同的SQL语句在执行前都会进行相应的预解析等操作,这个过程是比较耗时的,而任何值的不同也是SQL不同,比如:SELECT * FROM USER WHERE USER_ID = 1与SELECT * FROM USER WHERE USER_ID = 2是不同的SQL语句。如果将where条件中的USER_ID的值通过...
OleDbCommand cmd.Parameters.AddWithValue 添加参数时需要按照存储过程参数的顺序加入...
v5browser
07-09 807
在使用存储过程时,参数出入的顺序要一致。
SqlCommand.Parameters.Add()用法
icesker
05-27 7003
private bool AddInfo(string strName, string strImage) {     sqlcon = new SqlConnection(strCon);     FileStream FStream = new FileStream(strImage, FileMode.Open, FileAccess.Read);     BinaryReader
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值