请求用@variable 替换列名
Posted
技术标签:
【中文标题】请求用@variable 替换列名【英文标题】:Request replacing colum name by @variable 【发布时间】:2019-08-06 15:26:24 【问题描述】:我正在尝试在 C# WPF 上开发应用程序,并尝试将请求中的列名称设置为 @variable。我解释一下,我有一个带有一些选项的组合框。这些选项是我的专栏名称。当我选择其中一个选项时,我必须在文本框中写一个单词。当我点击验证按钮时,执行表格显示的函数需要两个参数:组合框的值和文本框的值。并且想知道我是否可以提出类似的要求
SELECT * FROM customer WHERE @boxContent = @text
我认为这就是问题所在。
这是我的 xml.cs 代码:
private void Button_Click_1(object sender, RoutedEventArgs e)
//InitializeComponent();
text = testBox.Text;
afficheListe.ListeModif(text,boxContent);
private void ComboBox_SelectionChanged(object sender, SelectionChangedEventArgs e)
if (ID.IsSelected)
boxContent = "id_client";
else if (Nom.IsSelected)
boxContent = "nom";
else if (Prenom.IsSelected)
boxContent = "prenom";
else if (Sexe.IsSelected)
boxContent = "sexe";
else if (DateNaissance.IsSelected)
boxContent = "date_Naiss";
else if (Mail.IsSelected)
boxContent = "mail";
else if (Adresse.IsSelected)
boxContent = "adresse";
else if (Pays.IsSelected)
boxContent = "pays";
这是我的请求功能代码:
public void ListeModif(string text, string boxContent)
bdd.connection.Open();
mysqlCommand cmd = bdd.connection.CreateCommand();
cmd.Parameters.AddWithValue("@text", text);
cmd.Parameters.AddWithValue("@boxContent", boxContent);
cmd.CommandText = " SELECT * FROM client WHERE @boxContent = @text";
MessageBox.Show(cmd.ToString());
cmd.ExecuteNonQuery();
MySqlDataReader reader = cmd.ExecuteReader();
clients.Clear();
while (reader.Read())
clients.Add(new Client()
Id = Convert.ToInt32(reader["id_Client"]),
Nom = Convert.ToString(reader["nom"]),
Prenom = Convert.ToString(reader["prenom"]),
Sexe = Convert.ToString(reader["sexe"]),
Date_Naissance = Convert.ToDateTime(reader["date_Naiss"]),
Mail = Convert.ToString(reader["mail"]),
Adresse = Convert.ToString(reader["adresse"]),
Pays = Convert.ToString(reader["pays"])
);
reader.Close();
bdd.connection.Close();
当我使用调试器时,cmd变量的值为:
MySql.Data.MySqlClient.MySqlCommand
希望我能很好地解释我的问题。
【问题讨论】:
【参考方案1】:想知道我是否可以提出类似的要求
"SELECT * FROM customer where @boxContent = @text"
不,你不能。在 SQL 中(通常,不仅仅是在 SQL Server 中),您可以用参数替换 constant 值。您不能替换其他类型的值:
标识符(表名、列名等) 运营商 函数名称 SQL 关键字换句话说,参数替换是不是字符串替换。您可以在构建查询字符串时在应用程序中执行此操作。但是您不能将该值作为参数传递。注意:在应用程序中这样做要小心,因为代码会受到 SQL 注入攻击。
有时,我会通过以下方式处理标识符替换:
SET @SQL = 'SELECT * FROM customer where @boxContent = @text';
SET @SQL = REPLACE(@SQL, '@boxContent', @boxContent);
(这是 T-SQL 语法。)即在执行查询之前替换值。
这似乎是一个神秘的限制。但是准备好的语句的目的之一是预编译查询——节省解析、编译和优化查询的开销。在处理大量相同表单的小查询的环境中,这可能是一项重要的性能提升。
【讨论】:
感谢您的回答,我稍后再试! :D【参考方案2】:不,那是错误的。您不能像那样动态替换列名。相反,您可以像下面那样替换 boxContent 变量的值
cmd.CommandText = $"SELECT * FROM client where boxContent = @text ";
如果您使用的 C# 版本低于 6,请使用 string.Format()
cmd.CommandText = string.Format("SELECT * FROM client where 0 = @text ", boxContent);
【讨论】:
也谢谢你的回答我会试试的!以上是关于请求用@variable 替换列名的主要内容,如果未能解决你的问题,请参考以下文章
Python将类object.variable替换为适当的值
bash shell参数展开(Shell Parameter Expansion):替换变量(variable)中的字符串
在PHP中,!empty($ variable)和count($ variable)的布尔结果是否始终相等?
在使用位置变量时,是否可以解析SC2001(“看看你是否可以使用$ {variable // search / replace}代替”)?