当前位置: 首页 > 图文教程 > 网络编程 > ASP.NET > asp.net SqlParameter关于Like的传参数无效问题

ASP.NET
ASP.Net中Session失效的一种编程思路
VS2003创建和打开ASP.net 工程的若干问题
用VS.NET打开或创建web项目出错的解决办法
Windows2003中配置ASP.net动态网站运行环境
Web.config中注册用户控件和自定义控件
ASP.NET AJAX 控件中HTML Intellisense功能的丢失
ASP.NET程序防范SQL注入式攻击的方法
Request.Form中的一些特殊的东西
ASP.NET最常见错误提示
VS2005构建针对DB2的应用程序和Web站点
ASP.NET 2.0控件处理DB2 9应用程序之二
Sandcastle介绍:生成.NET API文档的工具
教程:Asp.net与Xml开发网络硬盘技术
.NET事件处理的步骤
SVN配置和apache的配置
.NET命名空间和目录划分的经验
.NET开发时使用正则表达式的BUG
各版本IIS下ASP.net请求处理过程
ASP.NET MVC实现自己的一个视图引擎
C#关键字

ASP.NET 中的 asp.net SqlParameter关于Like的传参数无效问题


出处:互联网   整理: 软晨网(RuanChen.com)   发布: 2009-09-13   浏览: 115 ::
收藏到网摘: n/a

用传参方式模糊查询searchName 按常规的思路,我们会这样写
复制代码 代码如下:

String searchName ="Sam";
String strSql = "select * FROM Table1 where Name like '%@Name%' ";
SqlParameter[] parameters = {
new SqlParameter("@Name", searchName)
};

但结果是查询不到结果,跟踪代码也没有发现错误,又不想用字符串拼接的方式(防止攻击)。于是跟踪了Sql的执行,发现问题在于Sql给参数自动添加了单引号。
实际上在Sql,将like的代码解析成为了 like '%'Sam'%' ",所以,你怎么查也都得不到想要的结果。
据此,我们可以将代码改成:
复制代码 代码如下:

String searchName ="Sam";
String strSql = "select * FROM Table1 where Name like @Name ";
searchName = "%"+searchName+"%"; //注意不用加单引号,传参到Sql语句中会自动添加
SqlParameter[] parameters = {
new SqlParameter("@Name", searchName)
};

这样,就可以达到想要的查询结果。