17

我正在尝试为 C# 中的参数查询构建 SQL,以获取包含该LIKE %%命令的查询。

这是我想要实现的(请注意数据库是 Firebird)

var SQL = string.format("SELECT * FROM {0} WHERE {1} LIKE '%?%'", TABLE, NAME);
 cmd.Parameters.AddWithValue(NAME, "JOHN");

现在我已经尝试了每一种排列以使参数起作用,我已经尝试过;

  • %字符添加到参数中,

    cmd.Parameters.AddWithValue(NAME, "%" + "JOHN" + "%");

  • 或者

    cmd.Parameters.AddWithValue(NAME, "'%" + "JOHN" + "%'");

我似乎无法让它工作,我怎样才能使用 LIKE 查询的参数来工作。

欢迎提出建议!

4

3 回答 3

27

查询中的字符串文字内不能有参数。将整个值设为参数,并将通配符添加到字符串中:

var SQL = string.format("SELECT * FROM {0} WHERE {1} LIKE ?", TABLE, NAME);
Cmd.Parameters.AddWithValue(NAME, "%" + "JOHN" + "%");
于 2009-03-19T22:38:43.557 回答
5 
var SQL = string.Format("SELECT * FROM {0} WHERE {1} LIKE '%' + ? + '%'", TABLE, NAME);
Cmd.CommandText = SQL;
Cmd.Parameters.Add("?", SqlDbType.VarChar, 50).Value = "JOHN";
于 2009-03-19T22:54:39.260 回答
-5

在过去这样做时,我只是将它集成到 sql 中,确保我用问号替换单引号来处理 sql 注入。例如:

var SQL = string.format("SELECT * FROM {0} WHERE {1} LIKE '%{2}%'",
  TABLE,
  NAME,
  JOHN.Replace("'","?"));
于 2009-03-19T22:36:21.613 回答