從C＃查詢SQL Server數據庫

Question

我想查詢數據庫並讓它使用用戶傳入我的Web API上的獲取請求的數據返回正確的數據。

我已經嘗試使用：

SqlConnection con = new SqlConnection(conString); 
con.Open(); 

if (con.State == System.Data.ConnectionState.Open) 
{ 
    SqlCommand cmd = new SqlCommand(); 
} 

不過，我不確定我需要什麼的放在命令。我只是寫這樣的事情：

WHERE forename, surname, caseid, postcode, telephone, email FROM TestDB.crm-data 

還是我誤會了？

這是完整的代碼對不起

public string Get(string forename, string surname, int? caseid, int? loanid, string postcode, string telephone, string email, string title) 
{ 
    SqlConnection con = new SqlConnection(conString); 
    con.Open(); 

    if (con.State == System.Data.ConnectionState.Open) 
    { 
     SqlCommand cmd = new SqlCommand("SELECT * FROM crm-base WHERE forename"); 
    } 
} 

Answer 1

這是不完美的，但在這裏你去。您已完成其中的一部分：

using(SqlConnection con = new SqlConnection(conString)) 
{ 
    con.Open(); 

    var query=@"Select forename, surname, caseid, postcode, telephone, email 
       FROM TestDB.crm-data WHERE caseid=@caseId OR email=@email"; 

    using(SqlCommand cmd = new SqlCommand(query, con)) 
    { 
     cmd.Parameters.Add("@caseid",SqlDbType.Int).Value=1234; 
     cmd.Parameters.Add("@email", SqlDbType.VarChar, 250).Value="user@example.com"; 
     var dtb=new DataTable(); 
     var da=new SqlDataAdapter(com); 
     da.Fill(dtb) 
     //NOW dtb CONTAINS RECORDS FROM YOUR QUERY 
    } 
} 

Answer 2

你可以使用原始查詢，如果查詢具有恆定的參數。但是，如果您傳遞參數的不同值（在where子句中） - 請使用SQLParameters。這些是爲防止SQL注入攻擊而構建的。

看看這個鏈接的一些例子。

http://csharp-station.com/Tutorial/AdoDotNet/Lesson06

Answer 3

您的查詢不完整。您在不指定條件的情況下添加了where子句。

你需要做類似的事情;

SqlCommand cmd = new SqlCommand($"SELECT * FROM crm-base WHERE forename='{forename}'); 

這將抓取所有記錄，forename等於傳入get方法的記錄。