sql语句进行 like和in 参数化,按照正常的方式是无法实现的
我们一般的思维是:
Like参数化查询:
string sqlstmt = "select * from users where user_name like \'%@word%\' or mobile like \'%@word%\'";
SqlParameter[] Parameters=new SqlParameter[1];
Parameters[0] = new SqlParameter("@word", "123");
In参数化查询:
string sqlstmt = "select * from users where user_id in (@user_ids)";
SqlParameter[] Parameters = new SqlParameter[1];
Parameters[0] = new SqlParameter("@user_ids", "1001,1002,1006");
可是这样放在程序里面是无法执行的,即使不报错,也是搜索不出来结果的。
正确解法如下:
like 参数:
string sqlstmt = "select * from users where user_name like \'%\'+ @word + \'%\' or mobile like \'%\'+ @word + \'%\'";
SqlParameter[] Parameters=new SqlParameter[1];
Parameters[0] = new SqlParameter("@word", "123");
in 参数
string sqlstmt = "exec(\'select * from users where user_id in (\'+@user_ids+\')\')";
SqlParameter[] Parameters = new SqlParameter[1];
Parameters[0] = new SqlParameter("@user_ids", "1001,1002,1006");
原理解释:
SQL参数化查询,其实是可以在SQL的IDE(Microsoft SQL Server Management Studio)中测试的。
打开Microsoft SQL Server Management Studio,新建查询,在窗口中写入以下命令:
-- Like参数化查询命令
DECLARE @word VARCHAR(255);
SET @word=\'123\';
SELECT * from users where user_name like \'%\'+@word+\'%\' or mobile like \'%\'+@word+\'%\';
这就是Like参数化查询的等效命令;
同理,以下是In参数话查询命令:
DECLARE @user_ids VARCHAR(255);
SET @user_ids=\'1001,1002,1006\';
exec(\'select * from users where user_id in (\'+@user_ids+\')\');
文章参考:
http://blog.csdn.net/changhong009/article/details/7396005
版权声明:本文采用署名-非商业性使用-相同方式共享(CC BY-NC-SA 3.0 CN)国际许可协议进行许可,转载请注明作者及出处。 |