sql中like带参数的写法

最近学习过程中,用到like语句,但为了防止sql注入,所以得使用sql参数化的方法进行查询。发现使用like语句时，不同于直接的查询。尝试了几次，都没有成功。

 

直接查询时的写法为:

select 字段 from 表 where 字段=@parameter;
SqlParameter s1 = new SqlParameter("@parameter",parameter);

而在like语句中为：

string sql = "select 字段 from 表 where 字段 like @keywords ";
SqlParameter s1 = new SqlParameter("@keywords", "%" + keywords +"%");

 

这种写法实现了sql like语句的参数化查询.