asp.net SqlParameter关于Like的传参数无效问题
更新时间:2009年06月27日 21:58:31 作者:
用传参方式模糊查询searchName
按常规的思路,我们会这样写
String searchName ="Sam";
String strSql = "select * FROM Table1 where Name like '%@Name%' ";
SqlParameter[] parameters = {
new SqlParameter("@Name", searchName)
};
但结果是查询不到结果,跟踪代码也没有发现错误,又不想用字符串拼接的方式(防止攻击)。于是跟踪了Sql的执行,发现问题在于Sql给参数自动添加了单引号。
实际上在Sql,将like的代码解析成为了 like '%'Sam'%' ",所以,你怎么查也都得不到想要的结果。
据此,我们可以将代码改成:
String searchName ="Sam";
String strSql = "select * FROM Table1 where Name like @Name ";
searchName = "%"+searchName+"%"; //注意不用加单引号,传参到Sql语句中会自动添加
SqlParameter[] parameters = {
new SqlParameter("@Name", searchName)
};
这样,就可以达到想要的查询结果。
复制代码 代码如下:
String searchName ="Sam";
String strSql = "select * FROM Table1 where Name like '%@Name%' ";
SqlParameter[] parameters = {
new SqlParameter("@Name", searchName)
};
但结果是查询不到结果,跟踪代码也没有发现错误,又不想用字符串拼接的方式(防止攻击)。于是跟踪了Sql的执行,发现问题在于Sql给参数自动添加了单引号。
实际上在Sql,将like的代码解析成为了 like '%'Sam'%' ",所以,你怎么查也都得不到想要的结果。
据此,我们可以将代码改成:
复制代码 代码如下:
String searchName ="Sam";
String strSql = "select * FROM Table1 where Name like @Name ";
searchName = "%"+searchName+"%"; //注意不用加单引号,传参到Sql语句中会自动添加
SqlParameter[] parameters = {
new SqlParameter("@Name", searchName)
};
这样,就可以达到想要的查询结果。
相关文章
这篇文章主要介绍了vscode extension插件开发,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧2019-05-05
ASP.NET Core优雅的在开发环境保存机密(User Secrets)
这篇文章主要为大家详细介绍了ASP.NET Core如何优雅的在开发环境保存机密User Secrets,具有一定的参考价值,感兴趣的小伙伴们可以参考一下2017-05-05
这篇文章主要为大家详细介绍了ASP.NET实现大文件上传功能,解决了 ASP.NET 中的大文件上传问题,感兴趣的朋友可以参考一下2016-07-07
RichTextBox 显示图片和word的代码,需要的朋友可以参考一下2013-02-02
使用.NET存储XML数据的方法...2007-04-04
ASP.NET2.0:页面中链入的CSS、js文件带中文时需注意
ASP.NET2.0:页面中链入的CSS、js文件带中文时需注意...2006-09-09
用动态代理可以做AOP(面向切面编程),进行无入侵式实现自己的扩展业务,调用者和被调用者之间的解耦,提高代码的灵活性和可扩展性。本文将为大家详细介绍实现的方法,感兴趣的可以学习一下2022-01-01
首先,你要相信网络是不安全的,TCP协议也是不安全的。HTTP访问是基于TCP协议来完成的,其能够被攻击是一定的。2009-04-04
今天突然想到一个判断session是否合法的做法,asp.net的,之前我们的做法是下面这样的形式的:2013-07-07
.NET使用System.Timers.Timer类实现程序定时执行
这篇文章介绍了.NET使用System.Timers.Timer类实现程序定时执行的方法,文中通过示例代码介绍的非常详细。对大家的学习或工作具有一定的参考借鉴价值,需要的朋友可以参考下2022-07-07
最新评论