如何使用asp.net在数据集中使用like(';s%';)语句?
如何使用asp.net数据集向以下查询添加参数如何使用asp.net在数据集中使用like(';s%';)语句?,asp.net,sql,Asp.net,Sql,如何使用asp.net数据集向以下查询添加参数 SELECT word from wordTable where word like 's%'; 目的是搜索以S开头的单词 干杯 编辑: 答案是: SELECT word from wordTable where word like '' + @letter+ '%'; 但是,通过这种方式,您必须保护paramValue不受SQL注入的影响 见: 所以我认为最好的方法是(如果不使用SP的话):第3步。将参数与动态SQL一起使用为什么需要像“++
SELECT word from wordTable where word like 's%';
目的是搜索以S开头的单词
干杯
编辑:
答案是:
SELECT word from wordTable where word like '' + @letter+ '%';
但是,通过这种方式,您必须保护paramValue不受SQL注入的影响
见:
所以我认为最好的方法是(如果不使用SP的话):第3步。将参数与动态SQL一起使用为什么需要像“++@Letter+'%”这样的
。当然,像@Letter+'%'这样的就足够了吗?@GarethD这对我来说很有效像@Letter+'%'
。非常感谢。
string connectionString = "your Connection String";
string letter = "T";
DataTable table = new DataTable();
using (var adapter = new SqlDataAdapter("SELECT Word FROM WordTable WHERE Word LIKE @Letter + '%'", connectionString))
{
adapter.SelectCommand.Parameters.Add("@Letter", SqlDbType.VarChar, 1).Value = letter;
adapter.Fill(table);
}
string connectionString = "your Connection String";
string letter = "T";
DataTable table = new DataTable();
using (var adapter = new SqlDataAdapter("SELECT Word FROM WordTable WHERE Word LIKE @Letter + '%'", connectionString))
{
adapter.SelectCommand.Parameters.Add("@Letter", SqlDbType.VarChar, 1).Value = letter;
adapter.Fill(table);
}