asp.net SqlParameter关于Like的传参数无效问题

SQL参数化Like查询技巧
最新推荐文章于 2021-08-21 16:46:22 发布
转载 最新推荐文章于 2021-08-21 16:46:22 发布 · 140 阅读 · 0 ·
CC 4.0 BY-SA版权
原文链接:http://www.cnblogs.com/hjtdlx/p/3664230.html

本文介绍了一种解决SQL参数化查询中使用Like时遇到的问题的方法。通过调整参数处理方式,避免了因自动添加单引号导致的查询失败。文中提供了一个具体的案例,展示了正确的参数设置方法。

按常规的思路,我们会这样写 

复制代码代码如下:

String searchName ="Sam"; 
String strSql = "select * FROM Table1 where Name like '%@Name%' "; 
SqlParameter[] parameters = { 
new SqlParameter("@Name", searchName) 
}; 


但结果是查询不到结果,跟踪代码也没有发现错误,又不想用字符串拼接的方式(防止攻击)。于是跟踪了Sql的执行,发现问题在于Sql给参数自动添加了单引号。 
实际上在Sql,将like的代码解析成为了 like '%'Sam'%' ",所以,你怎么查也都得不到想要的结果。 

据此,我们可以将代码改成: 

复制代码代码如下:

String searchName ="Sam"; 
String strSql = "select * FROM Table1 where Name like @Name "; 
searchName = "%"+searchName+"%"; //注意不用加单引号,传参到Sql语句中会自动添加 
SqlParameter[] parameters = { 
new SqlParameter("@Name", searchName) 
}; 


这样,就可以达到想要的查询结果。

转载于:https://www.cnblogs.com/hjtdlx/p/3664230.html

Joe?
关注
asp.net模糊查询
覃庆奖
01-06 7545
(1)前言 我们做编程的人员,是必须得和数据打交道,和数据打交道,就必须有数据查询的功能,有数据查询的功能,就少不了模糊查找这个共能的模块,我所用的数据库是Mysql,废话不多说了,请看下文。 (2)数据库的设计 (3) Model中的login实体类 using System; using System.Collections.Generic; using System.Linq;...
ADO.net 关于SqlParameter 遇到Like问题如何解决
weixin_33829657的博客
12-17 179
参数为模糊查询时,需要按以下方法达到预期效果String name ="as"; String sql ="select * FROM tbl_table where Name like '%@Name%' "; SqlParameter parameter=new SqlParameter("@Name", name) ; //这样不管是SqlCommand或者...
ado.netsqlparameterlike查询
qq_41617901的博客
08-21 316
new SqlParameter("@BuyerName", string.Format("%{0}%",BuyerName) )
asp.net参数like
征途人生&梦
08-22 591
select * from tablename  where  title like '%'+ @wtitle + '%'";
ASP.NET(C#)中查询字符串Like拼接where字段的方法
qq_34787830的博客
12-16 924
selectStr = "select * from product_T where p_name like ('%'+'"+ proName +"'+'%')";
asp.netlike 使用参数
suntanyong88的专栏
02-29 1197
对于 普通的 select等sql语句, 正常的参数化语句 格式:          select* from profile where EmployeeID= @EmployeeID      forexample:       string loginString = "select * from profile where EmployeeID=@EmployeeID";
ASP.NET中带参的模糊查询
韦建辉(Net)
12-20 600
 ASP.NET中带参的模糊查询SqlParameter par = new SqlParameter("@Title","%"+pm.Title+"%");return DAL.Sqlhelper.DALDatatable("select * from News where Title like @Title", CommandType.Text, par);
SQL中like关键字结合SqlParameter使用时的注意事项(学习笔记)
junshangshui的专栏
01-24 3544
sql += "and  t1.CarNum like '%@CarNum%' "; //错误的写法 sql += "and  t1.CarNum like '%'+@CarNum+'%' ";//正确的写法
C# asp.net 中sql like in 参数
编程技术文档
01-27 7123
<br />在写项目的时候遇到一个问题,sql 语句进行 like in 参数化,按照正常的方式是无法实现的<br />我们一般的思维是:<br />Like 参数:<br />string strSql = "select * from Person.Address where City like '%@add%'";<br />SqlParameter[] Parameters=new SqlParameter[1];<br />Parameters[0] = new SqlParameter("@ad
C#中ADO.NET如何递和设置like查询的参数
Nemo的笔记本
04-17 1894
我们都知道ADO.NET中,为了防止sql注入,要使用参数化查询语句。而ADO.NET也已经为我们封装好方便的方法供使用。但是,这里有个特殊的情况,就是LIKE操作符。因为LIKE操作符的语法是需要使用通配符进行匹配,所以如果参数是包含在通配符中,就会导致无效。假设当前有张Article文章表,有个Title标题列,我们使用LIKE操作符 模糊查询有关ASP.NET MVC的标题,如果使用下面...
C# SqlParameter中使用Like
weixin_30470643的博客
03-10 749
sql = "SELECT....FROM... where ID=@ID ANDname LIKE @name + '%'" 或 sql = "SELECT....FROM... where ID=@ID ANDname LIKE '%' + @name + '%'" 转载于:https://www.cnblogs.com/tsyblog/p/3591700.html...
ASP.NET SQL Server存储过程中for循环的应用
ASP.NET与SQL Server结合可以用来创建可扩展、安全和稳定的Web应用程序。 在存储过程中使用for循环可以让开发者高效地重复执行任务,而不需要重复编写重复的代码。这对于在数据库中处理大量数据尤其有用。虽然在SQL...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值