当前位置: 首页 > 图文教程 > 网络编程 > ASP.NET > asp.net SqlParameter关于Like的传参数无效问题

ASP.NET
紧跟潮流:剖折QQ魔法表情实现原理
VB PDU mode 7 bit 解码
在主页面初始化时先打开连接
VB6窗体的生命周期
为.net中的ListBox控件添加双击事件
VB6中ADO流对象实现对二进制大型对象的读取方法
CASSINI源代码分析(4)
Mono开发指南:第一章 Mono介绍
ADO.NET Quiz 之对象序列化
Mono开发指南:第二章 安装Mono
Mono开发指南:第四章 Mono 初览
蛙蛙推荐:C#编码规范.doc
Mono开发指南:第三章 Hello Mono
Additional SOAP Namespaces Referenced In WSE 2.0 SOAP Headers
Mono开发指南:第五章 Gtk#编程
CASSINI源代码分析(5):总结
.Net线程学习手记(1)
关于C#中的结构(下)
如何用C#在Excel中生成图表?
Internet Explorer编程简述(一)

ASP.NET 中的 asp.net SqlParameter关于Like的传参数无效问题


出处:互联网   整理: 软晨网(RuanChen.com)   发布: 2009-09-13   浏览: 242 ::
收藏到网摘: n/a

用传参方式模糊查询searchName 按常规的思路,我们会这样写
复制代码 代码如下:

String searchName ="Sam";
String strSql = "select * FROM Table1 where Name like '%@Name%' ";
SqlParameter[] parameters = {
new SqlParameter("@Name", searchName)
};

但结果是查询不到结果,跟踪代码也没有发现错误,又不想用字符串拼接的方式(防止攻击)。于是跟踪了Sql的执行,发现问题在于Sql给参数自动添加了单引号。
实际上在Sql,将like的代码解析成为了 like '%'Sam'%' ",所以,你怎么查也都得不到想要的结果。
据此,我们可以将代码改成:
复制代码 代码如下:

String searchName ="Sam";
String strSql = "select * FROM Table1 where Name like @Name ";
searchName = "%"+searchName+"%"; //注意不用加单引号,传参到Sql语句中会自动添加
SqlParameter[] parameters = {
new SqlParameter("@Name", searchName)
};

这样,就可以达到想要的查询结果。