在很多时候会遇到需要的在c#或者其他高级程序设计语言中嵌入sql代码,可能是生成一个String查询字段,然后添加对应的Parameter。我遇到的问题是在查询逻辑中用到了分段的查询语句。下面贴一段 错误的代码。
String sql = @"SELECT * FROM tb_User WHERE 1=1"; SqlCommand cmd=new SqlCommand(); if (src.id != 0) { sql += "AND id=@id"; SqlParameter paramID = new SqlParameter("@id", SqlDbType.Int, 4); paramID.Value = src.id; cmd.Parameters.Add(paramID); }
我的tb_User表有3个字段 id,username,password。if (null != src.username) { sql += "AND username=@username"; SqlParameter paramUsername= new SqlParameter("@username",SqlDbType.NVarChar,64); paramUsername.Value = src.username; cmd.Parameters.Add(paramUsername); } if (null != src.password) { sql += "AND password=@password"; SqlParameter paramPassword=new SqlParameter("@password",SqlDbType.VarChar,64); paramPassword.Value = src.password; cmd.Parameters.Add(paramPassword); }
目测貌似没什么问题,在有些时候比如加入下面的条件分支也不会有问题。但是在发生sql+之后总是出错。
最后花了不少时间才发现时因为后面添加的查询字段没有合适的空格。
其实在以前编写比如“SELECT * FROM TB WHERE name='”.prename."aaa".suffixname."'";这样的语句是也可能会有同样的问题,只是因为拼接写的比较近容易发现。
如果离得更远,比如垮函数的拼接可能更不易察觉。
总结sql语句拼接需谨慎