C# 请求将列名称替换为@variable
我正在尝试在C WPF上开发一个应用程序,并尝试将请求中的列的名称设置为@variable。我解释说,我有一个带有一些选项的组合框。这些选项是我的列名。当我选择其中一个选项时,我必须在文本框中写入一个单词。当我点击validation按钮时,执行表显示的函数需要两个参数:组合框和文本框的值。我想知道我是否能提出这样的要求C# 请求将列名称替换为@variable,c#,sql,wpf,C#,Sql,Wpf,我正在尝试在C WPF上开发一个应用程序,并尝试将请求中的列的名称设置为@variable。我解释说,我有一个带有一些选项的组合框。这些选项是我的列名。当我选择其中一个选项时,我必须在文本框中写入一个单词。当我点击validation按钮时,执行表显示的函数需要两个参数:组合框和文本框的值。我想知道我是否能提出这样的要求 SELECT * FROM customer WHERE @boxContent = @text 我想这就是问题所在 以下是我的xml.cs代码: private void
SELECT * FROM customer WHERE @boxContent = @text
我想这就是问题所在
以下是我的xml.cs代码:
private void Button_Click_1(object sender, RoutedEventArgs e)
{
//InitializeComponent();
text = testBox.Text;
afficheListe.ListeModif(text,boxContent);
}
private void ComboBox_SelectionChanged(object sender, SelectionChangedEventArgs e)
{
if (ID.IsSelected)
{
boxContent = "id_client";
}
else if (Nom.IsSelected)
{
boxContent = "nom";
}
else if (Prenom.IsSelected)
{
boxContent = "prenom";
}
else if (Sexe.IsSelected)
{
boxContent = "sexe";
}
else if (DateNaissance.IsSelected)
{
boxContent = "date_Naiss";
}
else if (Mail.IsSelected)
{
boxContent = "mail";
}
else if (Adresse.IsSelected)
{
boxContent = "adresse";
}
else if (Pays.IsSelected)
{
boxContent = "pays";
}
}
以下是我的“请求”功能代码:
public void ListeModif(string text, string boxContent)
{
bdd.connection.Open();
MySqlCommand cmd = bdd.connection.CreateCommand();
cmd.Parameters.AddWithValue("@text", text);
cmd.Parameters.AddWithValue("@boxContent", boxContent);
cmd.CommandText = " SELECT * FROM client WHERE @boxContent = @text";
MessageBox.Show(cmd.ToString());
cmd.ExecuteNonQuery();
MySqlDataReader reader = cmd.ExecuteReader();
clients.Clear();
while (reader.Read())
{
clients.Add(new Client()
{
Id = Convert.ToInt32(reader["id_Client"]),
Nom = Convert.ToString(reader["nom"]),
Prenom = Convert.ToString(reader["prenom"]),
Sexe = Convert.ToString(reader["sexe"]),
Date_Naissance = Convert.ToDateTime(reader["date_Naiss"]),
Mail = Convert.ToString(reader["mail"]),
Adresse = Convert.ToString(reader["adresse"]),
Pays = Convert.ToString(reader["pays"])
});
}
reader.Close();
bdd.connection.Close();
}
使用调试器时,cmd变量的值为:
MySql.Data.MySqlClient.MySqlCommand}
希望我能很好地解释我的问题
我想知道我是否能提出这样的要求
从客户中选择*,其中@boxContent=@text
不,你不能。一般来说,在SQL中,不仅在SQL Server中,还可以用参数替换常量值。不能替换其他类型的值:
标识符表名、列名等。
操作员
函数名
SQL关键字
换句话说,参数替换不是字符串替换。在构造查询字符串时,可以在应用程序中执行此操作。但不能将该值作为参数传递。注意:在应用程序中执行此操作时要小心,因为代码会受到SQL注入攻击
有时,我通过执行以下操作来处理标识符替换:
SET @SQL = 'SELECT * FROM customer where @boxContent = @text';
SET @SQL = REPLACE(@SQL, '@boxContent', @boxContent);
这是T-SQL语法。也就是说,在执行查询之前替换该值
这似乎是一个神秘的限制。但是预编译语句的目的之一是预编译查询—节省解析、编译和优化查询的成本。在一个有许多相同表单的小查询正在处理的环境中,这可能是一个重要的性能增强。不,这是错误的。不能这样动态替换列名。相反,您可以按照下面的方法替换boxContent变量的值 如果您使用的是低于6的C版本,则使用string.Format
谢谢你的回答,我稍后再试!:谢谢你的回答,我会努力的!
cmd.CommandText = $"SELECT * FROM client where {boxContent} = @text ";
cmd.CommandText = string.Format("SELECT * FROM client where {0} = @text ", boxContent);