SqlParameter传递参数时,一般情况下,不会受到T-SQL语法关键字的影响。
所以安全性比较好,而且不用开发人员额外过滤SQL语法关键字等。
在拼接SQL时,如果是=,比较方便,直接WHERE OperateID =@key,然后再赋值即可。
但是如果是模糊查询,能不能WHERE OperateID LIKE %@key%呢? 这样是错误的。
因为这样T-SQL会把后面当成一个字符串。
如何处理这种情况:首先接拼接SQL改成:WHERE OperateID LIKE @key;
然后用这种方式赋值:SqlParameter param = new SqlParameter("@key", "%" + obj + "%");
这样,就OK了。
所以安全性比较好,而且不用开发人员额外过滤SQL语法关键字等。
在拼接SQL时,如果是=,比较方便,直接WHERE OperateID =@key,然后再赋值即可。
但是如果是模糊查询,能不能WHERE OperateID LIKE %@key%呢? 这样是错误的。
因为这样T-SQL会把后面当成一个字符串。
如何处理这种情况:首先接拼接SQL改成:WHERE OperateID LIKE @key;
然后用这种方式赋值:SqlParameter param = new SqlParameter("@key", "%" + obj + "%");
这样,就OK了。
