当前位置: 首页 > 图文教程 > 网络编程 > ASP.NET > asp.net SqlParameter关于Like的传参数无效问题

ASP.NET
也说C#实现对Word文件读写
字符串处理:中英文混排固定长度截取问题
用asp.net还原与恢复sqlserver数据库
C#加密路径里的参数,保护参数隐私安全!
ASP.NET实现网络空间管理
Asp.net中处理共享Session的问题
ASP.NET之精通弹出窗口
禁止在TextBox中输入
将一个图片以二进制值的形式存入Xml文件中
vs.net 2003在FAT32格式的系统中安装
.Net FrameWork SDK文档的例子演示
改善C#中socket通信机客户端程序的健壮性
C#中的域(field)和属性(property)
将ASP.net中的Table中的数据导入到Execl
C#中的数组和C++中数组的区别
C#中的checked、unchecked操作符
asp.net 的 Request对象
C#中方法参数的四种类型
C#中的“装箱”与“拆箱”
C#中的代理(delegate)

ASP.NET 中的 asp.net SqlParameter关于Like的传参数无效问题


出处:互联网   整理: 软晨网(RuanChen.com)   发布: 2009-09-13   浏览: 255 ::
收藏到网摘: n/a

用传参方式模糊查询searchName 按常规的思路,我们会这样写
复制代码 代码如下:

String searchName ="Sam";
String strSql = "select * FROM Table1 where Name like '%@Name%' ";
SqlParameter[] parameters = {
new SqlParameter("@Name", searchName)
};

但结果是查询不到结果,跟踪代码也没有发现错误,又不想用字符串拼接的方式(防止攻击)。于是跟踪了Sql的执行,发现问题在于Sql给参数自动添加了单引号。
实际上在Sql,将like的代码解析成为了 like '%'Sam'%' ",所以,你怎么查也都得不到想要的结果。
据此,我们可以将代码改成:
复制代码 代码如下:

String searchName ="Sam";
String strSql = "select * FROM Table1 where Name like @Name ";
searchName = "%"+searchName+"%"; //注意不用加单引号,传参到Sql语句中会自动添加
SqlParameter[] parameters = {
new SqlParameter("@Name", searchName)
};

这样,就可以达到想要的查询结果。