按常規(guī)的思路,我們會這樣寫 代碼如下: String searchName ="Sam"; String strSql = "select * FROM Table1 where Name like '%@Name%' "; SqlParameter[] parameters = { new SqlParameter("@Name", searchName) };
但結(jié)果是查詢不到結(jié)果,跟蹤代碼也沒有發(fā)現(xiàn)錯誤,又不想用字符串拼接的方式(防止攻擊)。于是跟蹤了Sql的執(zhí)行,發(fā)現(xiàn)問題在于Sql給參數(shù)自動添加了單引號。 實際上在Sql,將like的代碼解析成為了 like '%'Sam'%' ",所以,你怎么查也都得不到想要的結(jié)果。
據(jù)此,我們可以將代碼改成: 代碼如下: String searchName ="Sam"; String strSql = "select * FROM Table1 where Name like @Name "; searchName = "%"+searchName+"%"; //注意不用加單引號,傳參到Sql語句中會自動添加 SqlParameter[] parameters = { new SqlParameter("@Name", searchName) };
