asp.net SqlParameter关于Like的传参数无效问题(转载)

 按常规的思路,我们会这样写
复制代码 代码如下:

 String searchName ="Sam";  

String strSql = "select * FROM Table1 where Name like '%@Name%' ";  

SqlParameter[] parameters = {  

 new SqlParameter("@Name", searchName)  

 };

 
但结果是查询不到结果,跟踪代码也没有发现错误,又不想用字符串拼接的方式(防止攻击)。于是跟踪了Sql的执行,发现问题在于Sql给参数自动添加了单引号。

实际上在Sql,将like的代码解析成为了 like '%'Sam'%' ",所以,你怎么查也都得不到想要的结果。

据此,我们可以将代码改成:
复制代码 代码如下:

1 String searchName ="Sam";  

2 String strSql = "select * FROM Table1 where Name like @Name ";  

3 searchName = "%"+searchName+"%"; //注意不用加单引号,传参到Sql语句中会自动添加  

4 SqlParameter[] parameters = {  

5 new SqlParameter("@Name", searchName)  

6 };

 

另一种方法"select * FROM Table1 where Name like '%'+@Name+'%'"亦可以解决问题!

相关文章:

  • 2022-12-23
  • 2022-03-02
  • 2021-12-26
  • 2022-12-23
  • 2022-12-23
  • 2022-12-23
  • 2021-09-16
猜你喜欢
  • 2022-02-01
  • 2022-12-23
  • 2021-06-29
  • 2021-12-20
  • 2022-12-23
  • 2022-12-23
相关资源
相似解决方案
热门标签
Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode