2023年6月21日发(作者:)
在Sqlserver中sql带参数的写法⽬录问题描述为了防⽌sql注⼊,我们通常会选择参数化的⽅法查询。在这个过程中,发现使⽤like 语句时,不能像直接的查询⼀样。否则,整个程序会出错。解决⽅案错误的写法不能在SQL语句上带⼊匹配符stirng keyvalue=request["keyvalue"];string sql="select 字符 from 表 where 字段 like '%'@keyvalue%'";SqlParameter p1=new SqlParameter("@keyvalue", "%" + keyvalue+"%");正确的写法要在SqlParameter中带⼊匹配符stirng keyvalue=request["keyvalue"];string sql = "select 字段 from 表 where 字段 like @keyvalue";SqlParameter p1 = new SqlParameter("@keyvalue", "%" + keyvalue+"%");
2023年6月21日发(作者:)
在Sqlserver中sql带参数的写法⽬录问题描述为了防⽌sql注⼊,我们通常会选择参数化的⽅法查询。在这个过程中,发现使⽤like 语句时,不能像直接的查询⼀样。否则,整个程序会出错。解决⽅案错误的写法不能在SQL语句上带⼊匹配符stirng keyvalue=request["keyvalue"];string sql="select 字符 from 表 where 字段 like '%'@keyvalue%'";SqlParameter p1=new SqlParameter("@keyvalue", "%" + keyvalue+"%");正确的写法要在SqlParameter中带⼊匹配符stirng keyvalue=request["keyvalue"];string sql = "select 字段 from 表 where 字段 like @keyvalue";SqlParameter p1 = new SqlParameter("@keyvalue", "%" + keyvalue+"%");
发布评论