C#中ADO.NET如何传递和设置like查询的参数

原创 2018年04月17日 11:10:35

我们都知道ADO.NET中,为了防止sql注入,要使用参数化查询语句。而ADO.NET也已经为我们封装好方便的方法供使用。但是,这里有个特殊的情况,就是LIKE操作符。因为LIKE操作符的语法是需要使用通配符进行匹配,所以如果参数是包含在通配符中,就会导致传參无效。

假设当前有张Article文章表,有个Title标题列,我们使用LIKE操作符 模糊查询有关ASP.NET MVC的标题,如果使用下面的SQL语句将无法查询出数据:

string strSqlCommandText = "SELECT Title FROM Article WHERE Title LIKE '%@Title%'";
SqlParameter parameter = new SqlParameter() { ParameterName = "@Title", Value = "ASP.NET MVC", SqlDbType = SqlDbType.NVarChar, Size = 50 };

造成此原因是由于在当前SQL语句中,我们将参数标识@Title包含在单引号中,这样就导致ADO.NET无法正确识别参数标识,所以上面的语句实际查询的内容是有包含"@Title"这个字符串的标题,而不是匹配"ASP.NET MVC",相当于传参无效,我们声明的@Title参数等于没用到。

这里一定要注意,ADO.NET进行参数化时会自动将参数值包含在单引号中,除了特殊需求,最好不要自己手动添加单引号。ADO.NET中识别参数标识是使用符号@,如果在SQL语句中将参数标识放在单引号中,单引号中的参数标识只会被当成字符串!

所以要对LIKE语句进行参数化查询时,就要先对参数值进行格式化,在传参之前就设置好通配符,具体实现代码如下:

string strSqlCommandText = "SELECT Title FROM Article WHERE Title LIKE @Title";
SqlParameter parameter = new SqlParameter() { ParameterName = "@Title", Value = "%ASP.NET MVC%", SqlDbType = SqlDbType.NVarChar, Size = 50 };

从上面的代码中我们可以看到具体的变换有两点,第一点是SQL语句中取消了通配符%并且参数标识没有被单引号包含其中,第二点则是通配符直接放到了参数值中,这样ADO.NET在进行参数化后所生成的SQL就完全没问题了,最终也能正确的查询出结果。


C# 参数化SQL语句中的like和in

在写项目的时候遇到一个问题,sql 语句进行 like in 参数化,按照正常的方式是无法实现的 我们一般的思维是: Like 参数: string strSql = "select * fro...
  • changhong009
  • changhong009
  • 2012-03-26 18:14:39
  • 8441

ado.net参数化查询

在 Web 应用程序的开发过程中,Web 安全是非常重要的,现存的很多网站也都存在一 些非常严重的安全漏洞,其中SQL 注入是非常常见的漏洞,如果将查询语句进行参数化查 询,可以减少SQL 注入漏...
  • hongkaihua1987
  • hongkaihua1987
  • 2011-10-25 10:54:09
  • 651

C# SQL语句参数化,通过包含like关键字的子句查询无结果问题

问题描述:SQL语句使用参数传递变量值,如果where子句中含有like关键字并使用sql的标准语法 like '%@parma%',则查询无数据或者报错 解决办法:sql语句中like部分修改为 l...
  • wangzl1163
  • wangzl1163
  • 2016-05-11 17:32:30
  • 1012

在ADO.NET中使用参数化SQL语句的大同小异

在ADO.NET中经常需要跟各种数据库打交道,在不实用存储过程的情况下,使用参数化SQL语句一定程度上可以防止SQL注入,同时对一些较难赋值的字段(如在SQL Server中Image字段,在Orac...
  • zhoufoxcn
  • zhoufoxcn
  • 2008-03-19 01:26:00
  • 17621

sql查询语句中用like中用参数化查询

今天终于学会怎么在like中用参数化查询啦。。哈哈。。再也不用担心sql注入了。。。...
  • niunan
  • niunan
  • 2016-07-23 18:47:41
  • 4440

使用 XML 查询替换 ADO.NET 中的 IN ,提高查询性能

-------------------------------------------------- declare @xmlDoc xml; set @xmlDoc=' 862875 8628...
  • xxj_jing
  • xxj_jing
  • 2014-04-14 17:32:32
  • 1206

C#中利用ADO.NET连接和查询SQL数据库

using System.Data;using System.Data.SqlClient;...SqlConnection sqlCon = new SqlConnection("Data Sour...
  • ltolll
  • ltolll
  • 2006-09-14 17:17:00
  • 1475

c# sqlite中的like 模糊查询参数

在操作SQL 与 ACCESS数据库,使用LIKE传递参数进行模糊查询时,可以使用这样的写法:SQL:string sql = "Select Count(ID) As rcount From tbA...
  • wyljz
  • wyljz
  • 2010-09-28 09:07:00
  • 7642

关于C#SqlParameter传参进行模糊查询遇到的问题!

今天写作业碰到的问题,自己纠结,检查折腾了半小时,觉得实在不行了,开始百度,百度上也没有太确切的答案 ,也不是没有答案,就是太难找到了,并且大神讲的太深奥,原理是没看懂,但是解决办法学会了,下面贴代...
  • zhaixd123
  • zhaixd123
  • 2017-05-24 02:56:45
  • 1071

在执行Ado.net SqlDataAdapter 查询超时设置

在执行Sqlserver查询时报如下错误:  超时时间已到。在操作完成之前超时时间已过或服务器未响应。  修改方法:   using (SqlConnection connection = new...
  • QDseashore
  • QDseashore
  • 2015-12-21 11:10:24
  • 3952
收藏助手
不良信息举报
您举报文章:C#中ADO.NET如何传递和设置like查询的参数
举报原因:
原因补充:

(最多只允许输入30个字)