我在 ASP.NET 中执行了一个非常简单的查询,但是在我插入 LIKE 子句后它停止工作。
例子:
String sql = " SELECT *
FROM Products
WHERE ID = @MYID
AND Name LIKE '%@MYNAME%' ";
SqlCommand command = new SqlCommand(sql, cn);
command.Parameters.AddWithValue("@MYID", MYID.Text);
command.Parameters.AddWithValue("@MYNAME", MYNAME.Text);
如果我删除了 LIKE,它会起作用。因此我认为它与 '' 引号有关?
【问题讨论】:
原始代码混淆了 SQL 语句的文本和参数的内容。您的代码实际上应该如下所示:
string sql = "SELECT *
FROM Products
WHERE ID = @MyID
AND Name LIKE @MyName";
using (SqlCommand command = new SqlCommand(sql, cn))
{
command.Parameters.AddWithValue("@MyID", MyID.Text);
command.Parameters.AddWithValue("@MyName", "%" + MyName.Text + "%");
// Etc.
}
% 符号需要作为参数值的一部分,使用绑定参数时根本不需要单引号。
【讨论】:
Regex.Replace(searchString, @"([%_\[])", @"[$1]") 可以解决问题。感谢 Matt Miller 指出这一点here。
请注意,将 LIKE 与初始通配符一起使用几乎总是非常糟糕的主意,因为查询不会使用该列上的任何索引。在这种情况下,您可能会侥幸逃脱,因为看起来 ID 列上的过滤器会将您限制为一条记录,但通常您需要做的是在 name 列上放置一个全文索引并编写如下查询这个:
... WHERE CONTAINS(name, @MyName)
【讨论】:
LIKE %s%。
或者
String sql = " SELECT * FROM Products WHERE ID = @MYID AND Name LIKE @MYNAME ";
当您设置@MYNAME 参数时,适当添加“%”字符 (%SMITH%)。我认为在处理参数时不需要单引号。
【讨论】:
不要认为使用绑定参数就像将它的值插入到 SQL 字符串中!绑定参数值作为单独的数据发送到数据库,因此它们不能用引号引起来,也不能包含任何可选的 SQL 代码、表或列名!
【讨论】:
您在传递参数值时缺少% 符号
command.Parameters.AddWithValue("@MYNAME"+"%", MYNAME.Text);
【讨论】:
sql语句应该是这样的:
String sql = " SELECT * FROM Products WHERE ID = @MYID AND Name LIKE '%' + @MYNAME + '%'";
我不确定我是否完全理解您的评论,但您似乎想在查询中使用文本框中的值 - 也许这就是您想要做的:
String sql = " SELECT * FROM Products WHERE ID = @MYID AND Name LIKE '%' + text_box.Text + '%'";
"text_box" 将是您的 textBox 控件的实际 ID。
【讨论】: