SQL Server参数化SQL语句中的like和in查询的语法(C#)

已于 2022-03-31 08:36:27 修改
阅读量5.4k 收藏 2
点赞数
分类专栏: CSharp 文章标签: c#
于 2022-03-31 08:34:22 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zdhlwt2008/article/details/123862238
版权 
sql语句进行 like和in 参数化,按照正常的方式是无法实现的
//SqlParameter 会把where insert delete等字符原样的插入写入查询到sql语句中,而不会让这些关键字产生效果。。。。。。

我们一般的思维是:

Like参数化查询:
string sqlstmt = "select * from users where user_name like '%@word%' or mobile like '%@word%'";
SqlParameter[] Parameters=new SqlParameter[1];
Parameters[0] = new SqlParameter("@word", "123");

In参数化查询:
string sqlstmt = "select * from users where user_id in (@user_ids)";
SqlParameter[] Parameters = new SqlParameter[1];
Parameters[0] = new SqlParameter("@user_ids", "1001,1002,1006");
可是这样放在程序里面是无法执行的,即使不报错,也是搜索不出来结果的。

正确解法如下:

like 参数:
string sqlstmt = "select * from users where user_name like '%'+ @word + '%' or mobile like '%'+ @word + '%'";
SqlParameter[] Parameters=new SqlParameter[1];
Parameters[0] = new SqlParameter("@word", "123");

in 参数
string sqlstmt = "exec('select * from users where user_id in ('+@user_ids+')')";
string sqlstmt = $"select * from users where user_id in('{string.Join("','",@user_ids)}');//貌似这种写法也是可以的,
SqlParameter[] Parameters = new SqlParameter[1];
Parameters[0] = new SqlParameter("@user_ids", "1001,1002,1006");

原理解释:
SQL参数化查询,其实是可以在SQL的IDE(Microsoft SQL Server Management Studio)中测试的。
打开Microsoft SQL Server Management Studio,新建查询,在窗口中写入以下命令:


-- Like参数化查询命令
DECLARE @word VARCHAR(255);
SET @word='123';
SELECT * from users where user_name like '%'+@word+'%' or mobile like '%'+@word+'%';
这就是Like参数化查询的等效命令;

同理,以下是In参数话查询命令:
DECLARE @user_ids VARCHAR(255);
SET @user_ids='1001,1002,1006';
exec('select * from users where user_id in ('+@user_ids+')');

Walter_lee2008
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
深入理解MySql查询IN的执行和优化
weixin_30902251的博客
11-26 2436
IN为什么慢? 在应用程序使用子查询后,SQL语句查询性能变得非常糟糕。例如: SELECT driver_id FROM driver where driver_id in (SELECT driver_id FROM driver where _create_date > '2016-07-25 00:00:00'); 独立子查询返回了符合条件的driver_id,这个问题是解决了,...
SQL学习笔记(01)_LIKE、IN、通配符
weixin_44216392的博客
03-09 671
SQL学习笔记(01)SQL SELECT TOP, LIMIT, ROWNUM 子句SQL LIKE 操作符SQL 通配符SQL IN 操作符 由于在SQL方面欠缺,工作也需要大量的使用,因此在学习时的笔记积累下来。 SQL SELECT TOP, LIMIT, ROWNUM 子句 SELECT TOP 子句用于规定要返回的记录的数目。 SELECT TOP 子句对于拥有数千条记录的大型表来说,是非常有用的。 注意:并非所有的数据库系统都支持 SELECT TOP 语句。 MySQL 支持 LIMIT
SQL Like的逗号分隔符
weixin_34122604的博客
08-18 235
  在与数据库交互的过程,我们经常需要把一串ID组成的字符串当作参数传给存储过程获取数据。很多时候我们希望把这个字符串转成集合以方便用于in操作。 有两种方式可以方便地把这个以某种符号分隔的ID字符串转成临时表。   方式一:通过charindex和substring。  代码 create function func_splitstring(@str nvarchar(max),@...
SqlServer参数化查询之where in和like实现详解
09-11
若有一天你不可避免的需要提高SQL查询性能,需要一次性where in 几百、上千、甚至上万条数据时,参数化查询将是必然进行的选择
sql server 数据库like 实现参数化的思路
最新发布
cjh16606260986的博客
03-04 570
CHAEINDEX示例:CHARINDEX('张三',all_path_name),若 > 0表示存在,否则不存在。expressionToFind :目标字符串,就是想要找到的字符串,最大长度为8000。CHARINDEX原理:通过能够找到对应的字符串,则返回该字符串位置,否则返回0。start_location:开始查找的位置,为空时默认从第一位开始查找。1.使用CHARINDEX涵数返回非-1值表是有值,否则没有查询数据。expressionToSearch :用于被查找的字符串。
SqlServer参数化查询之where in和like实现之xml和DataTable传参介绍
12-15
方案5 使用xml参数 对sql server xml类型参数不熟悉的童鞋需要先了解下XQuery概念,这里简单提下XQuery 是用来从 XML 文档查找和提取元素及属性的语言,简单说就是用于查询xml的语言说到这就会牵着到XPath,其实XPath是XQuery的一个子集,XQuery 1.0 和 XPath 2.0 共享相同的数据模型,并支持相同的函数和运算符,XPath的方法均适用于XQuery,假如您已经学习了 XPath,那么学习 XQuery 也不会有问题。详见//www.jb51.net/w3school/xquery/xquery_intro.htm XQuery概念了解后需
SqlServer:使用IN()子句C#进行参数化查询
04-07
使用参数化查询SQL为IN()运算符发送参数的实用工具类
sqlserver 的 'like' 和 'in'
Become hunger become strong
06-17 2915
in谓词in 用来查找属性值属于指定集合的元组, 比如查询 班级 ‘c1’, ‘c2’, ‘c3’的所有学生的信息select * from Student where Sclass in ('c1', 'c2', 'c3') 如果查询 班级不是 ‘c1’, ‘c2’, ‘c3’的所有学生的信息select * from Student where Sclass not in ('c1', '
sql server 实现like in 查询
qq_41617901的博客
11-26 5541
现有两张表如下: select * from KeyWord select * from Food 我想要实现如下效果: select * from Food where Food.foodName like '%果%' or Food.foodName like '%杏%' or Food.foodName like '%蕉%' 从Food表匹配出有KeyName表关键字的水果名称。就如同实现了like in的效果。 你可以通过如下s..
mysql like in 组合_sql里like in能组合用吗的相关推荐
热门推荐
weixin_28713299的博客
01-19 1万+
展开全部SQLlike和in能组合在一起用,具体使用如e69da5e887aa3231313335323631343130323136353331333433623861下:(1)保留字like在sql里与+-*/一样是运算符之一,可用 like 运算符来找出符合指定样式的字段值。它通常要结合通配符表达式一起使用。(2)保留字in在sql里的作用多一些,其作用之一也与+-*/一样是运算符,用 “...
C语言sql参数化查询,使用LIKE的sql参数化查询
weixin_39923806的博客
05-18 205
我试图将参数传递给quert,但它不起作用。什么是最好的方式来做到这一点?我不想连接字符串。这里是我的查询:使用LIKE的sql参数化查询string cmd = @"SELECT*FROMTABLEWHEREp.PromptTypeID = pt.IDAND p.PromptDomainID = pd.IDAND p.LanguageID = pl.IDAND p.VoiceID = pv.ID...
Sql Server参数化查询之where in和like实现详解
05-31
此文档详细的记载了,Sql Server参数化查询之where in和like实现详解,希望可以帮到下载的朋友们!
从头学SQL(二):SQL高级语法(LIKE、IN、BETWEEN、CREATE INDEX...)
旭小爷的博客
05-21 569
文章目录TOP 子句LIKE 操作符SQL 通配符IN 操作符BETWEEN 操作符Alias=AS(别名)JOIN=INNER JOINUNION 和 UNION ALL 操作符SQL SELECT INTOCREATE DATABASE 语句CREATE TABLE 语句SQL 约束**NOT NULL**UNIQUEPRIMARY KEYFOREIGN KEYCHECKDEFAULT TOP 子句 TOP 子句用于规定要返回的记录的数目。 对于拥有数千条记录的大型表来说,TOP 子句是非常有用的。 注
SqlServer Like 带参 与 In带参的用法
快乐小斗车
02-20 5126
Like带参 商品表Commodity,@Remark2的值直接是字符串 string remark2=”测试商品” Select CommodityId,Price,CommodityName,CommodityCode From Commodity Where Disabled=@Disabled1 And Remark like '%'+@Remark2+'%'
C# sql 查询条件 like 和 in 参数化写法
博客
11-30 345
C# sql 查询条件 like 和 in 参数化写法
SQL Server 的 Like 运算符与通配符
藜笙的博客
03-21 1万+
目录 like 查找包含指定字符串的行 %(百分比)通配符 _(下划线)通配符 [ ](方括号)通配符 [ - ] 可指定范围 ^ 通配符 NOT LIKE 与 like 作用相反 1.like 查找包含指定字符串的行 在SQL Server 当我们想要查询某些以字段和字母开头或结尾的数据时,可以使用Like来查找数据。一般在使用Like 时,我们得配合通配符来使用它。在下面我们会通过了解 Like 与通配符的使用方法和诸多例子来理解Like 在SQL Server 的作...
【报表SQL】多值传入,Like 模拟 In 语法
阿泰的软件实用主义
04-16 2756
场景(oracle):我们有一个表 a,有一个列 现在要求 传入一个参数 x,x的值为id1,id2,id3 最终实现 select * from a where id in (id1,id2,id3)这个在程序代码里比较容易实现,直接用 SQL 也可以。如 Select * from a where id in (&a)但是在报表上直接实现就有些困难。解决方法:构
sqlserversql添加语句参数化语句
06-09
SQL Server,可以使用`SqlParameter`类来实现SQL添加语句的参数化。以下是一个使用参数化SQL添加语句的示例: ``` using System.Data.SqlClient; // 连接到数据库 SqlConnection conn = new SqlConnection("Data Source=example.com;Initial Catalog=myDatabase;User ID=myUsername;Password=myPassword"); // 创建SQL添加语句 string username = "admin"; string password = "123456"; string sql = "INSERT INTO users (username, password) VALUES (@Username, @Password)"; // 创建SqlCommand对象 SqlCommand cmd = new SqlCommand(sql, conn); // 添加参数 cmd.Parameters.Add(new SqlParameter("@Username", username)); cmd.Parameters.Add(new SqlParameter("@Password", password)); // 打开连接并执行添加语句 conn.Open(); cmd.ExecuteNonQuery(); // 关闭连接 conn.Close(); ``` 在上述代码,我们使用了`SqlConnection`和`SqlCommand`类来连接到数据库并执行SQL添加语句。在创建SQL添加语句时,我们使用了名为`@Username`和`@Password`的参数,这些参数将在后续的`SqlParameter`对象进行绑定。在执行添加语句之前,我们使用`Parameters.Add`方法将参数绑定到`SqlCommand`对象,这样可以避免SQL注入攻击,并且可以更好地保护数据库的数据安全。在执行添加语句之后,我们可以关闭连接并释放资源。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值