Parameters.AddWithValue 方法在SQL语句 Where 字句中的用法

最新推荐文章于 2022-01-19 10:16:42 发布
最新推荐文章于 2022-01-19 10:16:42 发布
阅读量1.3k 收藏
点赞数
分类专栏: SQLServer 文章标签: sql string sql server asp.net import object
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/mane_yao/article/details/5523758
版权

今天晚上看论坛,有人提问说,Parameters.AddWithValue方法在有些情况下不好使,他的写法是这样的:

 

string strWhere = "'%美%'"; strSql = "SELECT * FROM area Where [name] like @strWhere";//这个就不好使 cmd.Parameters.AddWithValue("@strWhere", strWhere);

 

这是因为,ASP.NET在生成SQL语句时,会在Like后面再加上一次单引号,造成错误,如果打开 SQL Server的跟踪管理器,可以看到执行的语句如下:

 

exec sp_executesql N'SELECT * FROM Article Where [Title] like @strWhere',N'@strWhere nvarchar(5)',@strWhere=N'%为什么%'

 

不难理解,在 OldDbCommand 中也会有类似的做法。

正确的代码为:

 

<%@ Page Language="C#" %>

<%@ Import Namespace="System.Data.SqlClient" %>

<script runat="server">

 protected void Page_Load(object sender, EventArgs e)

{

string connectionString = @"Data Source=(local);Initial Catalog=jGroup2;User Id=sa;Password=myPassword;";

SqlConnection con = new SqlConnection(connectionString);

con.Open();

SqlCommand cmd = new SqlCommand();

cmd.Connection = con;

string strWhere = "%为什么%";

string strSql = "SELECT * FROM B_Article Where [Title] like @strWhere";

 cmd.Parameters.AddWithValue("@strWhere", strWhere);

cmd.CommandText = strSql;

SqlDataReader dr = cmd.ExecuteReader();

while (dr.Read())

 {

 Response.Write(dr["Title"] + "<br>");

}

 con.Close();

con.Dispose();

}

</script>

mane_yao
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
asp.net Parameters.AddWithValue方法SQL语句的 Where 字句用法
10-30
ASP.NET的`Parameters.AddWithValue`方法SQL语句的`WHERE`子句使用时,需要注意其潜在的问题。这个方法是用来动态地添加SQL参数,通常用于防止SQL注入攻击,提高代码的可读性和可维护性。然而,当涉及到特定的...
Parameters.AddWithValue(“@参数”,value)方法
kuguhuan的博客
08-05 9559
cmd.Parameters.Add方法 VS Parameters.AddWithValue(“@参数”,value)方法的区别 以前用command方法执行存储过程增加参数时,总是先用cmd.Parameters.Add方法来设置参数和参数类型,再用Parameters[0].Value来给参数赋值。以前的一个动作代码示例: string strConn = "Data Source=.;I...
遇到动态调用Parameters .AddWithValue()参数类型问题的解决方法
行本无涯
09-07 2481
SQL Server 数据库备份与还原语法
jelly1102的专栏
03-23 7650
得到数据库路径 select     *   from   sysfiles  1、说明:创建数据库 CREATE DATABASE database-name  2、说明:删除数据库 drop database dbname 一、指定逻辑备份设备     backup databse accounting     to accounting_bak 二、或指定物理备
SQL语句-使用C#解析SQL语句.zip
02-21
在"SQL语句_使用C#解析SQL语句"这份资料,你可能会学到如何在实际项目结合C#和SQL,处理复杂的数据库操作,包括数据的读取、写入以及事务处理等。通过实例代码和讲解,你将能够更好地理解和掌握在C#环境解析和...
C#在SqlServer保存文件
最新发布
05-09
在.NET开发环境,C#是一种常用的编程语言,而SQL Server是一款强大的关系型数据库管理系统。将文件存储在数据库,特别是SQL Server,可以方便地进行数据管理、备份和恢复,同时便于实现文件的安全访问和权限...
SQL语句含有乘号报错的处理办法
09-10
在标题和描述提到的问题,主要集在如何在SQL语句正确使用乘法运算而不引起解析错误。以下是一些处理这种问题的方法: 1. **使用参数化查询**:这是避免SQL注入和解决特殊字符问题的最佳实践。你可以创建一个...
sql语句基础
weixin_30641465的博客
05-29 143
创建数据库  创建之前判断该数据库是否存在   if exists (select * from sys.databases where name='databaseName')   drop database 'databaseName'   go   Create DATABASE database-name 删除数据库  drop database dbname 备份...
使用 SqlCommand.Parameters.AddWithValue填充SQL语句的参数@SNO。防止SQL攻击
cuibaoming的博客
01-19 786
DataSet ds = new DataSet(); // 定义查询语句 string sql = “SELECT SNO, SName, Gender, Birthday, Mobile, Email, HomeAddress, PhotoPath FROM Student where SNO LIKE @SNO AND SName Like @SName AND Mobile Like @Mobile”;// if (cmbSex.Text.Contains(“女”)) { sql += " a
OleDbCommand cmd.Parameters.AddWithValue 添加参数时需要按照存储过程参数的顺序加入...
v5browser
07-09 719
在使用存储过程时,参数出入的顺序要一致。
Parameters.AddWithValue方法SQL语句的 Where 字句用法
【孟子E章】
01-21 7370
今天晚上看论坛,有人提问说,Parameters.AddWithValue方法在有些情况下不好使,他的写法是这样的: string strWhere = "%美%";strSql = "SELECT * FROM area Where [name] like @strWhere";//这个就不好使cmd.Parameters.AddWithValue("@strWhere",
cmd.Parameters.Add()的用法
热门推荐
ppdtts520的专栏
06-03 1万+
string sql = "Select id,userName,passWord,[rule] from [User] where userName=@name and passWord=@pwd"; using (SqlCommand cmd = new SqlCommand(sql, con)) { //cmd.
C#采用command.Parameters.AddWithValue书写like查询语句
06-02
你可以使用C#SqlCommand对象以及SqlParameter对象来执行带有LIKE操作符的查询语句。下面是一个示例代码: ```csharp string searchKeyword = "apple"; string query = "SELECT * FROM Products WHERE ProductName LIKE @keyword"; using (SqlConnection connection = new SqlConnection(connectionString)) { SqlCommand command = new SqlCommand(query, connection); command.Parameters.AddWithValue("@keyword", "%" + searchKeyword + "%"); connection.Open(); SqlDataReader reader = command.ExecuteReader(); while (reader.Read()) { // 处理查询结果 } } ``` 在代码,我们首先定义了一个查询关键词 `searchKeyword` 和一个查询语句 `query`。然后使用 `SqlConnection` 对象与数据库建立连接,并使用 `SqlCommand` 对象创建一个查询命令。接着,我们使用 `Parameters.AddWithValue` 方法向查询命令添加一个名为 `@keyword` 的参数,并将其值设置为 `%apple%`,其 `%` 是通配符,表示匹配任意字符。最后,我们执行查询并处理查询结果。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值