关于在c#中嵌入sql代码的问题

最新推荐文章于 2023-05-16 23:32:50 发布
最新推荐文章于 2023-05-16 23:32:50 发布
阅读量536 收藏
点赞数
文章标签: sql c# null string 语言 user
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/life1989619/article/details/7691627
版权

在很多时候会遇到需要的在c#或者其他高级程序设计语言中嵌入sql代码,可能是生成一个String查询字段,然后添加对应的Parameter。我遇到的问题是在查询逻辑中用到了分段的查询语句。下面贴一段 错误的代码。

 String sql = @"SELECT * FROM tb_User
                                WHERE  1=1";
            SqlCommand cmd=new SqlCommand();
            if (src.id != 0)
            {
                sql += "AND id=@id";
                SqlParameter paramID = new SqlParameter("@id"SqlDbType.Int, 4);
                paramID.Value = src.id;
                cmd.Parameters.Add(paramID);
            }
  	    if (null != src.username)
            {
                sql += "AND username=@username";
                SqlParameter paramUsername= new SqlParameter("@username",SqlDbType.NVarChar,64);
                paramUsername.Value = src.username;
                cmd.Parameters.Add(paramUsername);
            }
            if (null != src.password)
            {
                sql += "AND password=@password";
                SqlParameter paramPassword=new SqlParameter("@password",SqlDbType.VarChar,64);
                paramPassword.Value = src.password;
                cmd.Parameters.Add(paramPassword);
            }

我的tb_User表有3个字段 id,username,password。

目测貌似没什么问题,在有些时候比如加入下面的条件分支也不会有问题。但是在发生sql+之后总是出错。

最后花了不少时间才发现时因为后面添加的查询字段没有合适的空格。

其实在以前编写比如“SELECT * FROM  TB WHERE name='”.prename."aaa".suffixname."'";这样的语句是也可能会有同样的问题,只是因为拼接写的比较近容易发现。

如果离得更远,比如垮函数的拼接可能更不易察觉。

总结sql语句拼接需谨慎

life1989619
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
C#内嵌SQL文件执行
dimonds90的博客
03-29 577
最近在做这个项目,由于要接不同的系统,不希望动别人的库,只有用sql语句来做,存储过程基本就舍去了,语句到方法里又太多,想到了嵌入sql文件,为了兼容XP,.net只能最高到4.0,还要用sql2000的库,也只能用oledb来连接 public static string MenuSQL {get;set;} public static string RealSQL {...
C#嵌入SQLite数据库的简单方法
09-03
C#嵌入SQLite数据库是一项实用的技术,尤其对于开发桌面应用或移动应用时需要本地存储数据的情况。SQLite是一款轻量级、独立的关系型数据库管理系统,适用于资源有限的环境,如嵌入式设备,同时也支持多种操作...
SqlParameter[] paras ={ new SqlParameter("@Id", SqlDbType.Int, 4) } 代码解析
zscmj的专栏
07-20 6264
是一种简化的声明数组时初始化的方式。V1:这种是个人都见过int[] a = new int[2];a[0] = 123;a[1] = 456;V2:这种也很常见int[] a = new int[2]{ 123, 456 };V3: 跟V2差不多int[] a = new in
嵌入SQL
m0_62792013的博客
05-16 1087
嵌入SQL是指将SQL语句嵌入到程序源代码SQL语句。在这种情况下,程序和SQL语句共同组成了一个完整的程序,并且SQL语句的执行由程序控制。嵌入SQL可以在程序动态生成SQL语句,并将结果返回到程序进行处理。嵌入SQL就是将SQL语句嵌入到程序代码,让程序可以直接与数据库进行交互,进行查询、插入、更新和删除等操作。而宿主语言是指主要编程语言,它和SQL语言不同,是用来编程序的语言。通过嵌入SQL,程序可以使用宿主语言的语法和API来动态生成SQL语句,并将结果返回到程序进行处理。
C# 嵌入式数据库LiteDB
TimTiny的博客
11-07 3504
之前就有过LiteDB数据库相关的一篇文章,不过内容比较简单,简单的增删查改,最近项目又有场景要用到数据库,索性重新了一篇。
C#检测是否有危险字符的SQL字符串过滤方法
09-04
SQL注入是一种常见的黑客攻击手段,通过在用户输入的数据嵌入恶意的SQL语句,来操纵数据库,获取、修改或删除敏感数据。C#作为.NET框架的主要编程语言,提供了一些方法来检查和过滤可能含有危险字符的SQL字符串,...
谈在代码嵌入标记生成模版
08-07
【标题】"谈在代码嵌入标记生成模版"主要涉及的是软件开发的模板引擎技术,这是一种在代码插入动态内容的机制,通常用于快速生成和自动化代码生成。模板引擎允许开发者定义一种模板语言,然后通过这个语言来...
一个c#嵌套查询的数据库实例应用代码
03-16
SQL,这通常表现为在WHERE或FROM子句嵌入SELECT语句。在本实例,可能的代码结构如下: ```csharp using (SqlConnection connection = new SqlConnection(connectionString)) { connection.Open(); ...
【数据库系统概论】实验七 嵌入SQL查询
杨明金的博客
03-17 5603
一、实验目的 (1)了解嵌入SQL的使用方法。 (2)设计用户界面,能对数据表进行查询。 二、实验内容 设计一个应用程序,实现对教学管理数据库所选定的表按指定条件进行查询。用户界面如图1所示。 图1 用户界面 完成以下功能: (1)在学号、姓名、性别、年龄等输入框输入一个或多个值,点击搜索按钮,能够查询相应记录。如果不输入任何数据,则查询学生表所有记录。 三、实验指导 (一)Visual C# 嵌入SQL语句 新建一个网站; 在web.config增加配置项: <connectio
用C#实现嵌入SQL访问数据库
01-01
用C#实现嵌入SQL访问数据库,比较有用。windows 平台下可以成功运行。
C#+SQL 数据库嵌套查询一例(附代码
11-05
C#+SQL 数据库嵌套查询一例(附代码),以订单和职工信息为基准,来综合查询订单信息,先查询没有订单的员工信息,然后查询至少经过一次订单的员工信息查询,而后将嵌套查询结果显示于窗体的dataGridView对象,对初学者来说,应该是不错的数据库查询范例。
C#SQL语句的数据库操作
03-28
SQL语句的数据库操作,实现了对数据的增删改查功能!
SQL Server加入C#程序集
maicowxp的专栏
04-17 516
SqlServer调用C#类库(DLL)
c#将变量嵌入SQL语句
qingkaqingka的博客
12-18 3211
1、使用 ' " + + " ' 拼接 string mysql = " SELECT Cname,Grade FROM student,score,course WHERE student.Sno = score.Sno and score.Cno = course.Cno and ...
C#数据存入数据库
热门推荐
weixin_41259130的博客
08-16 1万+
前提:使用MS SQL数据库          在数据库建立表             string conn = "data source=.;database=mydb2;integrated security=SSPI";             SqlConnection mycon = new SqlConnection(conn);   //定义SqlConnection对象实例...
C#怎么防止SQL注入
最新发布
07-15
C# ,可以采取以下措施来防止 SQL 注入攻击: 1. 使用参数化查询:使用参数化查询可以将用户提供的输入值作为参数绑定到查询语句,而不是直接将输入值嵌入SQL 查询字符串。这样可以防止恶意输入被解释...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值