参数化动态sql查询

Question

我有一个关键字列表,我存储在列表中.

要从表中获取记录,请使用以下查询:

sqlBuilder.Append("SELECT name, memberid FROM members WHERE");
StringBuilder sqlBuilder = new StringBuilder();
foreach (string item in keywords)
            {
            sqlBuilder.AppendFormat(" LOWER(Name) LIKE '%{0}%' AND", item); 
            }
string sql = sqlBuilder.ToString();

您可能已经注意到,我的查询容易受到sql注入,因此我想使用SqlCommand()来使用参数.我尝试了以下但仍然无法正常工作:

foreach (string item in keywords)
            {    
                sqlBuilder.AppendFormat(" LOWER(Name) LIKE '%' + @searchitem + '%' AND", item);
                SqlCommand cmd = new SqlCommand(sqlBuilder.ToString());
                cmd.Parameters.AddWithValue("@searchitem",item);
             }

我在哪里可以犯这个错误,或者更确切地说,我应该怎么做？

Answer 1

你在这里犯了一些错误:

• 您为所有参数指定相同的名称@searchitem.那不行.参数需要唯一的名称.
• 您为每个项目创建一个新的SqlCommand.那不行.在循环开始时创建一次 SqlCommand ,然后CommandText在创建完SQL后设置.
• 您的SQL结尾AND,这是无效的语法.

改进建议(本身并没有错,但也不是最佳做法):

• 正如Frederik建议的那样,通常的方法是将%标记放在参数中,而不是在SQL中进行字符串连接.
• 除非您为数据库明确使用区分大小写的排序规则,否则比较应不区分大小写.因此,您可能不需要LOWER.

代码示例:

SqlCommand cmd = new SqlCommand();
StringBuilder sqlBuilder = new StringBuilder();
sqlBuilder.Append("SELECT name, memberid FROM members ");

var i = 1;
foreach (string item in keywords)
{
    sqlBuilder.Append(i == 1 ? " WHERE " : " AND ");
    var paramName = "@searchitem" + i.ToString();
    sqlBuilder.AppendFormat(" Name LIKE {0} ", paramName); 
    cmd.Parameters.AddWithValue(paramName, "%" + item + "%");

    i++;
}
cmd.CommandText = sqlBuilder.ToString();