问题描述
我的 C# 代码用于查找列名为 CustomerAccountNumber 的数据行,其中包含一个值 KKL'M"/(值中的单引号 ')不返回任何内容
这是我的 C# 代码:
matchingid = "KKL'M\"/";
bool foundCustomer = false;
sqlConnection cnn;
connetionString = "Server=" + config.serverName + ";Database=" + config.companyName + ";Trusted_Connection=true";
cnn = new sqlConnection(connetionString);
cnn.open();
var queryString = "SELECT CustomerAccountNumber,CustomerAccountName FROM [" + config.companyName + "].[dbo].[SLCustomerAccount] WHERE CustomerAccountNumber = @matchingAccountName";
sqlCommand command = new sqlCommand(queryString,cnn);
command.Parameters.Add(new sqlParameter("@matchingAccountName",System.Data.sqlDbType.NChar) { Value = matchingid });
using (sqlDataReader reader = command.ExecuteReader())
{
while (reader.Read())
{
foundCustomer = true;
}
}
cnn.Close();
value 包含的数据库截图
解决方法
使用参数而不是像这样构造查询,并将所有可处理的对象放在 using
中。
这个例子可以让你走上正确的道路
using (SqlConnection cnn = new SqlConnection(connetionString))
{
cnn.Open();
var queryString = "SELECT CustomerAccountNumber,CustomerAccountName FROM dbo.SLCustomerAccount WHERE CustomerAccountNumber = @matchingid";
using (SqlCommand command = new SqlCommand(queryString,cnn))
{
command.Parameters.Add("@matchingID",SqlDbType.VarChar,50).Value = matchingID; // specify correct length
using (SqlDataReader reader = command.ExecuteReader())
{
while (reader.Read())
{
foundCustomer = true;
}
}
}
}
编辑
如评论中所述,您不能参数化公司名称,但在您的查询中不需要它,因此只需将其省略即可。
3 个部分名称的使用将被弃用,请阅读所有相关内容 here
我还想提一下,通过使用参数,你再也不用担心sql注入了。不确定您的情况是否有问题,但最好始终使用参数,因为格式、引号 '
以及您在值中可以找到的任何内容都没有问题,并且可以安全地防止 sql 注入
编辑 2
正如@NicholasHunter 也提到的,小心
matchingid = "kkl'm\"/n";
如果一个字符串可以包含特殊字符,你可以将它们全部转义,或者简单地使用这个
matchingid = @"kkl'm\"/n";