如这样一个sql语句:
这里虽然采用了仍然是用% 来写,但是可以有效过滤sql注入的情况,还是挺简单实用。
select * from game where gamename like '%张三%'
用c#表示的话:
string keywords = "张三";
StringBuilder strSql=new StringBuilder();
strSql.Append("select * from game where gamename like @keywords");
SqlParameter[] parameters=new SqlParameter[]
{
new SqlParameter("@keywords","%"+keywords+"%"),
};
这里虽然采用了仍然是用% 来写,但是可以有效过滤sql注入的情况,还是挺简单实用。
是个小知识点,希望对你能有所帮助! ^_^
原文出处:https://www.cnblogs.com/woaic/p/csharp_SqlParameter_like.html