C＃SQL字符串格式化

Question

我是.net/C#的新手。來自PHP和一些Java，我發現新的語言有趣和具有挑戰性。

我有一個SQL字符串

string query = @"select * from Users where role='member' and 
SUBSTRinG(lname, 1, 1) = '"+querystring + "' ORDER BY lname ASC"; 

這對我來說，看起來很好的問題。然而，當運行我的解決方案和輸出，因爲它是不工作的查詢，我得到這個作爲我的輸出：

select * from Users where role='member' and SUBSTRinG(lname, 1, 1) 
= ' O ' ORDER BY lname ASC 

這是輸出到我的Firebug的控制檯（使用該查詢通過AJAX被訪問的頁面）。

是他們的一個原因，我的正在變成他們的代碼版本，即「&＃39'

感謝

Answer 1

在C＃中，你應該使用的SqlCommand到EXCUTE查詢，並防止SQL注入使用參數集合去。

您的查詢似乎很好 - 問題可能是您運行它的方式或提供的參數。更新您的問題，提供更多關於您的期望和發生的事情的詳細信息，包括生成的任何錯誤消息。

下面是如何從sql表中獲取數據到c＃數據表對象的一般指導。

SqlConnection conn = new SqlConnection("YourConnectionString"); 
SqlCommand cmd = new SqlCommand(@"select * from Users where role='member' and 
SUBSTRinG(lname, 1, 1) = @query ORDER BY lname ASC"); 

cmd.Parameters.AddWithValue("@query", querystring); 

DataTable resultTable = new DataTable(); 

try 
{ 
    SqlDataAdapter da = new SqlDataAdapter(cmd); 
    da.Fill(resultTable); 
} finally { 
    if (conn.State != ConnectionState.Closed) conn.Close(); 
} 

Console.WriteLine(String.Format("Matched {0} Rows.", resultTable.Rows.Count)); 

Answer 2

可以提供單引號轉義序列」通過將兩個單引號的'，這樣它將被視爲SQL中的單引號。否則，它理解爲SQL中特定列值的字符串的開始或結束。

更換單引號在.NET中使用'還優選但其更好地用兩個單引號