C# 构造参数查询 SQL - LIKE %

Question

我正在尝试为 C# 中的参数查询构建 SQL，该查询将包含 LIKE %% 命令。

这是我想要实现的目标（请注意数据库是 Firebird）

var SQL = string.format("SELECT * FROM {0} WHERE {1} LIKE '%?%'", TABLE, NAME);
 cmd.Parameters.AddWithValue(NAME, "JOHN");

现在我已经尝试了每一种排列以使参数起作用，我已经尝试过；

• 添加 % 参数的字符，

  cmd.Parameters.AddWithValue(NAME, "%" + "JOHN" + "%");
  

• 或者

  cmd.Parameters.AddWithValue(NAME, "'%" + "JOHN" + "%'");
  

我似乎无法让它工作，如何使用 LIKE 查询的参数来工作。

欢迎提出建议！

Answer 1

查询中的字符串文字中不能包含参数。将整个值作为参数，并将通配符添加到字符串中：

var SQL = string.format("SELECT * FROM {0} WHERE {1} LIKE ?", TABLE, NAME);
Cmd.Parameters.AddWithValue(NAME, "%" + "JOHN" + "%");

Answer 2

var SQL = string.Format("SELECT * FROM {0} WHERE {1} LIKE '%' + ? + '%'", TABLE, NAME);
Cmd.CommandText = SQL;
Cmd.Parameters.Add("?", SqlDbType.VarChar, 50).Value = "JOHN";

Answer 3

过去，在执行此操作时，我只是将其集成到 sql 中，确保用问号替换单引号来处理 sql 注入。例如：

var SQL = string.format("SELECT * FROM {0} WHERE {1} LIKE '%{2}%'",
  TABLE,
  NAME,
  JOHN.Replace("'","?"));