我正在尝试在 C# WPF 上开发应用程序,并尝试将请求中的列名称设置为 @variable。我解释一下,我有一个带有一些选项的组合框。这些选项是我的专栏的名称。当我选择其中一个选项时,我必须在文本框中写入一个单词。当我单击验证按钮时,执行表显示的函数需要两个参数:组合框和文本框的值。我想知道我是否可以提出这样的请求
SELECT * FROM customer WHERE @boxContent = @text
我认为这就是问题所在。
这是我的 xml.cs 代码:
private void Button_Click_1(object sender, RoutedEventArgs e)
{
//InitializeComponent();
text = testBox.Text;
afficheListe.ListeModif(text,boxContent);
}
private void ComboBox_SelectionChanged(object sender, SelectionChangedEventArgs e)
{
if (ID.IsSelected)
{
boxContent = "id_client";
}
else if (Nom.IsSelected)
{
boxContent = "nom";
}
else if (Prenom.IsSelected)
{
boxContent = "prenom";
}
else if (Sexe.IsSelected)
{
boxContent = "sexe";
}
else if (DateNaissance.IsSelected)
{
boxContent = "date_Naiss";
}
else if (Mail.IsSelected)
{
boxContent = "mail";
}
else if (Adresse.IsSelected)
{
boxContent = "adresse";
}
else if (Pays.IsSelected)
{
boxContent = "pays";
}
}
这是我的请求功能代码:
public void ListeModif(string text, string boxContent)
{
bdd.connection.Open();
MySqlCommand cmd = bdd.connection.CreateCommand();
cmd.Parameters.AddWithValue("@text", text);
cmd.Parameters.AddWithValue("@boxContent", boxContent);
cmd.CommandText = " SELECT * FROM client WHERE @boxContent = @text";
MessageBox.Show(cmd.ToString());
cmd.ExecuteNonQuery();
MySqlDataReader reader = cmd.ExecuteReader();
clients.Clear();
while (reader.Read())
{
clients.Add(new Client()
{
Id = Convert.ToInt32(reader["id_Client"]),
Nom = Convert.ToString(reader["nom"]),
Prenom = Convert.ToString(reader["prenom"]),
Sexe = Convert.ToString(reader["sexe"]),
Date_Naissance = Convert.ToDateTime(reader["date_Naiss"]),
Mail = Convert.ToString(reader["mail"]),
Adresse = Convert.ToString(reader["adresse"]),
Pays = Convert.ToString(reader["pays"])
});
}
reader.Close();
bdd.connection.Close();
}
当我使用调试器时,cmd
变量的值为:
MySql.Data.MySqlClient.MySqlCommand}
希望我能很好地解释我的问题。
最佳答案
And would like to know if i can make a request like
"SELECT * FROM customer where @boxContent = @text "
不,你不能。在 SQL 中(一般而言,不仅仅是在 SQL Server 中),您可以用参数替换常量值。您不能替换其他类型的值:
- 标识符(表名、列名等)
- 运营商
- 函数名称
- SQL关键字
换句话说,参数替换不是字符串替换。您可以在构建查询字符串时在应用程序中执行此操作。但您不能将该值作为参数传递。注意:在应用程序中执行此操作时要小心,因为代码容易受到 SQL 注入(inject)攻击。
有时,我通过执行以下操作来处理标识符替换:
SET @SQL = 'SELECT * FROM customer where @boxContent = @text';
SET @SQL = REPLACE(@SQL, '@boxContent', @boxContent);
(这是T-SQL语法。)也就是说,在执行查询之前替换该值。
这可能看起来像是一个神秘的限制。但准备好的语句的目的之一是预编译查询——节省解析、编译和优化查询的成本。在处理许多相同形式的小查询的环境中,这可能是一个重要的性能增强。
关于c# - 请求用@variable替换列名,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/55184466/