您的位置:首页 > 编程语言 > ASP

asp.net SqlParameter关于Like的传参数无效问题(转载)

2010-12-09 11:28 357 查看
按常规的思路,我们会这样写
复制代码 代码如下:

String searchName ="Sam";

String strSql = "select * FROM Table1 where Name like '%@Name%' ";

SqlParameter[] parameters = {

new SqlParameter("@Name", searchName)

};

但结果是查询不到结果,跟踪代码也没有发现错误,又不想用字符串拼接的方式(防止攻击)。于是跟踪了Sql的执行,发现问题在于Sql给参数自动添加了单引号。

实际上在Sql,将like的代码解析成为了 like '%'Sam'%' ",所以,你怎么查也都得不到想要的结果。

据此,我们可以将代码改成:
复制代码 代码如下:

1 String searchName ="Sam";

2 String strSql = "select * FROM Table1 where Name like @Name ";

3 searchName = "%"+searchName+"%"; //注意不用加单引号,传参到Sql语句中会自动添加

4 SqlParameter[] parameters = {

5 new SqlParameter("@Name", searchName)

6 };

另一种方法"select * FROM Table1 where Name like '%'+@Name+'%'"亦可以解决问题!
内容来自用户分享和网络整理,不保证内容的准确性,如有侵权内容,可联系管理员处理 点击这里给我发消息
标签: 
相关文章推荐
新的分享
章节导航