sql参数化查询语句

   写SQL模糊查询语句可能大多数是这样写:

        string sql = "select * from UserInfo where username like  '%"+username +"%'"; 

    但这样直接在sql语句中拼接字符串似乎不太明智。很不安全。

    还有一种写法:

        string sql = "select * from UserInfo where username like @username";

    注明:这里无需单引号。

    按上面的写法,需要传递@username参数.,并且在传递参数值时需要写模糊查询特征字符‘%’.

    例如我们要查含有字符a的用户,则可以这样传递参数:

        string name="liu";

        sqlparameter p =new sqlparameter("@username","%"+name+"%");

posted @ 2014-05-06 18:16  我的技术控件  阅读(888)  评论(0编辑  收藏  举报