如何在sql语句中使用字符串变量
Posted
tags:
篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了如何在sql语句中使用字符串变量相关的知识,希望对你有一定的参考价值。
我有一个WPF应用程序,我得到了
string someone = TextBox.text;
我想在以下查询中使用它
query = " Select * From Table Where Title = someone "
我该如何在查询中使用变量?
答案
你可以这样做
query = "Select * From Table Where Title = " + someone;
但这很糟糕,并打开SQL注入
您应该只使用参数化查询
这样的事情应该让你开始
using (var cn = new SqlClient.SqlConnection(yourConnectionString))
using (var cmd = new SqlClient.SqlCommand())
{
cn.Open();
cmd.Connection = cn;
cmd.CommandType = CommandType.Text;
cmd.CommandText = "Select * From Table Where Title = @Title";
cmd.Parameters.Add("@Title", someone);
}
来自Jon Skeet的答案,因为他比我的更完整
有关更多信息,请参阅SqlCommand.Parameters的文档。
基本上,您不应出于各种原因将您的值嵌入SQL本身:
- 混合代码和数据是不优雅的
- 除非你非常小心转义,否则它会打开SQL注入攻击
- 你必须担心数字,日期和时间等格式和i18n细节
- 当查询保持相同且仅更改值时,优化器的工作量较少 - 它可以直接查找以前的优化查询,因为它在SQL方面是完美匹配。
另一答案
您应该使用参数化SQL查询:
query = "SELECT * From TableName WHERE Title = @Title";
command.Parameters.Add("@Title", SqlDbType.VarChar).Value = someone;
有关更多信息,请参阅SqlCommand.Parameters的文档。
基本上,您不应出于各种原因将您的值嵌入SQL本身:
- 混合代码和数据是不优雅的
- 除非你非常小心转义,否则它会打开SQL注入攻击
- 你必须担心数字,日期和时间等格式和i18n细节
- 当查询保持相同且仅更改值时,优化器的工作量较少 - 它可以直接查找以前的优化查询,因为它在SQL方面是完美匹配。
另一答案
最简单的是使用C#Prepared sql。 Example on this post。您不必担心转义sql字符串中的字符或其他任何内容
另一答案
declare @SqlQuery varchar(2000), @Fromdate varchar(20), @Todate varchar(20)
set @Fromdate='01 jan 2017'
set @Todate='30 mar 2017'
set @SqlQuery='select * from tblEmployee where tblEmployee.JDate between '''+ @Fromdate + ''' and '''+ @Todate+ ''''
print @SqlQuery
以上是关于如何在sql语句中使用字符串变量的主要内容,如果未能解决你的问题,请参考以下文章