16

假设我有一个基本查询,如下所示:

 SELECT holiday_name
 FROM holiday
 WHERE holiday_name LIKE %Hallow%

这在我的 sql 查询窗格中执行良好并返回“万圣节”。当我尝试在代码中使用带有通配符 '%' 字符的参数时,就会出现我的问题。

SqlConnection Connection = null;
SqlCommand Command = null;

string ConnectionString = ConfigurationManager.ConnectionStrings["SQLdb"].ConnectionString;
string CommandText = "SELECT holiday_name "
                   + "FROM holiday "
                   + "WHERE holiday_name LIKE %@name%";
Connection = new SqlConnection(ConnectionString);

try
{
      Connection.Open();
      Command = new SqlCommand(CommandText, Connection);
      Command.Parameters.Add(new SqlParameter("name", HolidayTextBox.Text));
      var results = Command.ExecuteScalar();
}

catch (Exception ex)
{   
     //error stuff here       
}

finally
{
    Command.Dispose();
    Connection.Close();
}

这会引发不正确的语法错误。我试过像这样将“%”移动到我的参数中

Command.Parameters.Add(new SqlParameter("%name%", HolidayTextBox.Text));

但随后我收到一条错误消息,提示我尚未声明标量变量“@name”。那么,如何正确格式化通配符以包含在查询参数中?任何帮助表示赞赏!

4

3 回答 3

25

首先,你的SqlParameter名字@name不是name

其次,我会移动你的通配符。

所以它看起来像这样:

string CommandText = "SELECT holiday_name "
               + "FROM holiday "
               + "WHERE holiday_name LIKE @name;"
Connection = new SqlConnection(ConnectionString);

try
{
  var escapedForLike = HolidatyTextBox.Text; // see note below how to construct 
  string searchTerm = string.Format("%{0}%", escapedForLike);
  Connection.Open();
  Command = new SqlCommand(CommandText, Connection);
  Command.Parameters.Add(new SqlParameter("@name", searchTerm));
  var results = Command.ExecuteScalar();
}

请注意,LIKE在传递参数时需要特别小心,并且您需要转义一些字符 在使用 sql 参数的 SQL LIKE 语句中转义特殊字符

于 2013-11-01T16:28:35.020 回答
10

无论你做什么都不这样做

string CommandText = "SELECT holiday_name "
                   + "FROM holiday "
                   + "WHERE holiday_name LIKE '%'" + HolidayTextBox.Text + "'%'";

因为这会让你打开 sql 注入,而不是这样做:

Command.Parameters.Add(new SqlParameter("@name", "%" + HolidayTextBox.Text + "%"));

您可能想了解 Command.Parameters.AddWithValue,例如:

Command.Parameters.AddWithValue("@name", "%" + HolidayTextBox.Text + "%");
于 2013-11-01T16:27:49.767 回答
2

%s 应该是搜索字符串的一部分,而不是查询。

string CommandText = "SELECT holiday_name "
                + "FROM holiday "
                + "WHERE holiday_name LIKE @name";
Connection = new SqlConnection(ConnectionString);

try
{
    Connection.Open();
    Command = new SqlCommand(CommandText, Connection);
    string name = "%" + HolidayTextBox.Text + "%";
    Command.Parameters.Add(new SqlParameter("@name", name));
于 2013-11-01T16:29:46.970 回答