sql語句進行 like和in 參數化,按照正常的方式是無法實現的
我們一般的思維是:
Like參數化查詢:
string sqlstmt = "select * from users where user_name like '%@word%' or mobile like '%@word%'";
SqlParameter[] Parameters=new SqlParameter[1];
Parameters[0] = new SqlParameter("@word", "123");
In參數化查詢:
string sqlstmt = "select * from users where user_id in (@user_ids)";
SqlParameter[] Parameters = new SqlParameter[1];
Parameters[0] = new SqlParameter("@user_ids", "1001,1002,1006");
可是這樣放在程序里面是無法執行的,即使不報錯,也是搜索不出來結果的。
正確解法如下:
like 參數:
string sqlstmt = "select * from users where user_name like '%'+ @word + '%' or mobile like '%'+ @word + '%'";
SqlParameter[] Parameters=new SqlParameter[1];
Parameters[0] = new SqlParameter("@word", "123");
in 參數
string sqlstmt = "exec('select * from users where user_id in ('+@user_ids+')')";
SqlParameter[] Parameters = new SqlParameter[1];
Parameters[0] = new SqlParameter("@user_ids", "1001,1002,1006");
原理解釋:
SQL參數化查詢,其實是可以在SQL的IDE(Microsoft SQL Server Management Studio)中測試的。
打開Microsoft SQL Server Management Studio,新建查詢,在窗口中寫入以下命令:
-- Like參數化查詢命令
DECLARE @word VARCHAR(255);
SET @word='123';
SELECT * from users where user_name like '%'+@word+'%' or mobile like '%'+@word+'%';
這就是Like參數化查詢的等效命令;
同理,以下是In參數話查詢命令:
DECLARE @user_ids VARCHAR(255);
SET @user_ids='1001,1002,1006';
exec('select * from users where user_id in ('+@user_ids+')');
文章參考:
http://blog.csdn.net/changhong009/article/details/7396005
| 版權聲明:本文采用署名-非商業性使用-相同方式共享(CC BY-NC-SA 3.0 CN)國際許可協議進行許可,轉載請注明作者及出處。 |