DbParameter关于Like查询的传参数无效问题

最新推荐文章于 2020-11-22 09:15:03 发布
最新推荐文章于 2020-11-22 09:15:03 发布
阅读量276 收藏
点赞数
文章标签: 数据库
原文链接:http://www.cnblogs.com/weiweithe/p/4292000.html
版权

用传参方式模糊查询searchName

    按常规的思路,我们会这样写 ,代码如下:

String searchName ="Sam"; 
String strSql = "select * FROM Table1 where Name like '%@Name%' "; 
SqlParameter[] parameters = { 
new SqlParameter("@Name", searchName) 
};

  但结果是查询不到结果,跟踪代码也没有发现错误,又不想用字符串拼接的方式(防止攻击)。于是跟踪了Sql的执行,发现问题在于Sql给参数自动添加了单引号。 
实际上在Sql,将like的代码解析成为了 like '%'Sam'%' ",所以,你怎么查也都得不到想要的结果。 

据此,我们可以将代码改成: 

String searchName ="Sam"; 
String strSql = "select * FROM Table1 where Name like @Name "; 
searchName = "%"+searchName+"%"; //注意不用加单引号,传参到Sql语句中会自动添加 
SqlParameter[] parameters = { 
new SqlParameter("@Name", searchName) 
};

  这样,就可以达到想要的查询结果。

转载于:https://www.cnblogs.com/weiweithe/p/4292000.html

weixin_30436891
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
asp.net SqlParameter关于Like的传参无效问题
10-29
传参方式模糊查询searchName
基于sql动态参的三层简单的CodeSmith模板
07-18
在这个特定的模板中,它应该是自动创建了处理SQL动态参的代码段,比如ADO.NET的SqlCommand对象与SqlParameter的使用,或者更现代的Entity Framework中的DbParameter。 三层架构模板的生成,意味着CodeSmith会为你...
查询时如果传入的参是string类型时,报错时的解决办法
yangsitong1314的博客
03-28 2524
发现不能将参设为bean里的名称,如果传入类型为String类型, 则参需统一修改为[_parameter],修改后的sql语句如下(不管你的参是什么,都要改成"_parameter") 例: SELECT category_id AS categoryId,
C# Parameter使用like
11-13 1761
string name = "变量"; string strSql = string.Format("select Id as UserId,RealName as UserName from BY_User where RealName like @RealName");             Database db = DatabaseFactory.CreateDatabase()
.net中引用传递对象作为参传递的问题
tian36315的专栏
04-20 1014
<br />很多程序员或学习程序的人会遇到这样的问题:若像方法中传入引用类型对象添加到List<T>泛型集合或者ArrayList中时发现集合中所有据都是相同的,而且是最后一条添加进去的值,我也遇到了同样棘手的问题,但问题终归是问题,不是“死题”,总归有解决的办法,当你解决了这个问题后发现也不过如此。<br /><br />我在开发.net模型层框架时遇到了一个问题,先说说框架原理:<br /><br />框架类似于java中的Hibernate,构建实体类,属性名称和数据库一致,不用编写实体对象对应的D
C# asp.net 中sql like in 参数化
编程技术文档
01-27 7028
<br />在写项目的时候遇到一个问题,sql 语句进行 like in 参数化,按照正常的方式是无法实现的<br />我们一般的思维是:<br />Like 参:<br />string strSql = "select * from Person.Address where City like '%@add%'";<br />SqlParameter[] Parameters=new SqlParameter[1];<br />Parameters[0] = new SqlParameter("@ad
SQL参数化查询详解.pdf
09-19
2. 使用 ADO.NET Entity Framework:在 ADO.NET Entity Framework 中,可以使用 DbParameter 对象来实现参数化查询。 3. 使用 ODBC:在 ODBC 中,可以使用 SQLBindParameter来实现参数化查询。 SQL 参数化查询...
C#数据库操作类-SQLHelper
08-06
- 使用参数化查询防止SQL注入攻击。 - 关闭数据库连接时,确保所有据操作已完成,防止据丢失或异常。 5. **扩展性**: SQLHelper虽然方便,但可能无法满足所有复杂需求。开发者可以根据项目需要扩展此类,...
renshi.rar_DBCommand
09-22
3. 绑定参:如果SQL命令包含参,可以通过DBParameter对象来绑定这些参参数化查询可以防止SQL注入攻击,提高代码的安全性。 4. 执行命令:调用DBCommand对象的Execute方法执行SQL命令。根据不同的数据库操作...
编程经验点滴 动态SQL的拼接技巧
09-11
动态SQL是一种在运行时根据需要构建SQL查询语句的技术,常用于处理参不确定或查询条件多样化的场景。在编程过程中,正确理解和应用动态SQL能够提高代码的灵活性和可维护性,避免不必要的性能损失。 首先,我们要...
SqlParameter使用Like的问题
ahshow的专栏
03-11 7143
String name ="as"; String sql = "select * FROM tbl_table where Name like %@Name% "; SqlParameter parameter= new SqlParameter("@Name", name) ;//这样不管是SqlCommand或者SqlAdapter都不能获取这个@NameStri
ASP.NET 模糊查询参数化
jamesWQZY的博客
05-24 1570
很久没碰ASP.Net了  今天开发android端接口需要 做了数据库查询: 功能需求:一个客户的模糊查询  不过就是Like嘛,这有设么难的嘛,所以一上来(其他简单的就略  你懂得!):  WhereSql.Append(" AND a.Cus_Name LIKE '%" + "@Cus_Name" + "%' ");  parameter.Add(DbFactory.Creat
[导入]认父亲的DbParameter!!
weixin_30540691的博客
10-23 90
摘要: 执行完IDbCommand后要记得Clear参!否则小问题就成了大问题!!阅读全文[新闻]Google宣布开放Android移动操作系统源代码博客园首页社区新闻频道小组博问网摘闪存文章来源:http://www.cnblogs.com/kingthy/archive/2008/06/19/1225235.html 转载于:https://www.cnblogs.com/m...
ORA-39001: 参无效ORA-39000:ORA-31640,问题解决
热门推荐
tutukl的博客
11-22 1万+
关于impdp导入数据库 遇到ORA-39001: 参无效ORA-39000: 转储文件说明错误ORA-31640: 无法打开要读取的转储文件 "E:\dxd\oracle\oORA-27041: 无法打开文件OSD-04002: 无法打开文件O/S-Error: (OS 2) 系统找不到指定的文件,问题解决 主要对Oracle数据库不熟,用据泵导入据就更不用说了,第一次用,踩了很多坑,就这一个问题花了我三个多小时,网上的各种方法都用了,但是都不行,最后我用expdp 试着导出了表,发现导出的表和
DbParameter
ainixi7099的博客
05-01 641
124124 转载于:https://www.cnblogs.com/buchizaodian/p/8975672.html
C#sql like
最新发布
08-31
在C#中使用SQL的LIKE语句进行模糊查询时,需要注意防止SQL注入的问题。一种简单的方法是通过字符串过滤来提高SQL语句的安全性,防止SQL注入攻击。这可以有效地保护数据库的安全性。 当在C#中使用参进行模糊查询时...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值