一、正常使用参数化语句
string sqlStr="SELECT * FROM A WHERE A.字段1=@字段1"
new SqlParameter("@字段1",字段1赋值)
二、条件使用 like
错误:string sqlStr="SELECT * FROM A WHERE A.字段1 LIKE '@字段1%'"
new SqlParameter("@字段1",字段1赋值)
此时执行语句会查询结果为空,因为sql数据库会认为’@字段1%'是个字符串,从而查找不到需要的结果
正确:
string sqlStr="SELECT * FROM A WHERE A.字段1 LIKE ''+ @字段1+ '%'"
new SqlParameter("@字段1",字段1赋值)
正确执行
三、条件使用 IN
string sqlStr="SELECT * FROM A WHERE A.字段1 IN ('+@字段1+') "
new SqlParameter("@字段1",字段1赋值)