17

コマンドを含むクエリの C# でパラメーター クエリの SQL を構築しようとしていますLIKE %%

これが私が達成しようとしているものです(データベースはFirebirdであることに注意してください)

var SQL = string.format("SELECT * FROM {0} WHERE {1} LIKE '%?%'", TABLE, NAME);
 cmd.Parameters.AddWithValue(NAME, "JOHN");

ここで、パラメーターを機能させるためにすべての順列を試しました。

  • %パラメータに文字を追加し、

    cmd.Parameters.AddWithValue(NAME, "%" + "JOHN" + "%");

  • また

    cmd.Parameters.AddWithValue(NAME, "'%" + "JOHN" + "%'");

これを機能させることができないようです。LIKE クエリのパラメーターを使用して機能させるにはどうすればよいですか。

提案は大歓迎です!

4

3 に答える 3

27

クエリの文字列リテラル内にパラメーターを含めることはできません。値全体をパラメータにして、ワイルドカードを文字列に追加します。

var SQL = string.format("SELECT * FROM {0} WHERE {1} LIKE ?", TABLE, NAME);
Cmd.Parameters.AddWithValue(NAME, "%" + "JOHN" + "%");
于 2009-03-19T22:38:43.557 に答える
-5

過去にこれを行ったとき、私は単純にそれをSQLに統合し、単一引用符を疑問符に置き換えてSQLインジェクションに対処しました。例えば:

var SQL = string.format("SELECT * FROM {0} WHERE {1} LIKE '%{2}%'",
  TABLE,
  NAME,
  JOHN.Replace("'","?"));
于 2009-03-19T22:36:21.613 に答える