sql参数化查询语句
写SQL模糊查询语句可能大多数是这样写:
string sql = "select * from UserInfo where username like '%"+username +"%'";
但这样直接在sql语句中拼接字符串似乎不太明智。很不安全。
还有一种写法:
string sql = "select * from UserInfo where username like @username";
注明:这里无需单引号。
按上面的写法,需要传递@username参数.,并且在传递参数值时需要写模糊查询特征字符‘%’.
例如我们要查含有字符a的用户,则可以这样传递参数:
string name="liu";
sqlparameter p =new sqlparameter("@username","%"+name+"%");