如何使用sql参数进行选择查询?
我需要根据一组记录的“喜欢”匹配来获取记录,
以下查询即时使用无效。 有谁知道查询有什么问题?
sqlCommand.CommandText =String.Format("SELECT * FROM Customer" + " WHERE (Name like @Name)","'%" +searchString.Trim()+"%'"); sqlCommand.Parameters.AddWithValue("Name", searchString); 此查询不提取所需的记录。
运行上面的代码片段时出现以下错误:
Must declare the scalar variable "@Name".
这种方式会发生什么?
sqlCommand.CommandText = "SELECT * FROM Customer WHERE Name LIKE @Name;"; sqlCommand.Parameters.AddWithValue("@Name", "%" + searchString + "%");
您还可以按如下方式对其进行编码,以避免首先出现所有通配符格式:
sqlCommand.CommandText = "SELECT * FROM Customer WHERE CHARINDEX(@Name, Name) > 0;"; sqlCommand.Parameters.AddWithValue("@Name", searchString);
如果你打算以不安全的方式坚持这样做,至少可以将searchString任何单引号searchString ,例如
searchString.Replace("'", "''")
String.Format需要一个占位符,如{0} {1}等。
sqlCommand.CommandText = "SELECT * FROM Customer WHERE Name LIKE @Name;"; sqlCommand.Parameters.AddWithValue("@Name", String.Format("%{0}%", searchString));
如果不con.State = ConnectionState.Open则con.Open()结束If
Try Dim cmd As New OleDbCommand("UPDATE med_records SET Medicine=@Medicine,Dosage=@Dosage,Format=@Format,Expiration_date=@Expiration_date,Quantity=@Quantity where M_id=@M_id", con) cmd.Parameters.AddWithValue("@Medicine", txtMedicine.Text) cmd.Parameters.AddWithValue("@Dosage", txt_Dosage.Text) cmd.Parameters.AddWithValue("@Format", txt_Format.Text) cmd.Parameters.AddWithValue("@Expiration_date", txt_Expirationdate.Text) cmd.Parameters.AddWithValue("@Quantity", NumericUpDown1.Text) cmd.Parameters.AddWithValue("@M_id", txt_M_id.Text) cmd.ExecuteNonQuery() MsgBox("Update data") con.Close() Catch ex As Exception MsgBox(ex.Message) End Try