来源:传智播客  免费开发视频。

问题:根据书名或出版社或作者查询书籍信息。

using System;

using System.Collections.Generic问题;

using System.ComponentModel;

using System.Data;

using System.Drawing;

using System.Linq;

using System.Text;

using System.Windows.Forms;

using System.Data.SqlClient;

namespace _01多条件搜索问题

{

    public partial class Form1 : Form

    {

        public Form1()

        {

            InitializeComponent();

        }

        private void button1_Click(object sender, EventArgs e)

        {

            //假设表名:Books

            //列名:BookName(书名)、Author(作者)、Pub(出版社)

            //多条件查询,要根据用户输入的内容来动态拼接SQL语句。

            //1.假设如果用户没有输入任何条件,那么就查询出所有的记录

            StringBuilder sbSQL = new StringBuilder("select * from Books ");

            //在wheres集合中保存查询的sql条件

            List<string> wheres = new List<string>();

            //把参数也放到一个集合当中

            List<SqlParameter> listParameters = new List<SqlParameter>();

            //2.如果用户输入了条件,则根据用户输入的条件动态拼接SQL语句

            if (txtBookName.Text.Trim().Length > )

            {

                //sbSQL.Append("  BookName like @bkName");

                wheres.Add("  BookName like @bkName");

                listParameters.Add(new SqlParameter("@bkName", SqlDbType.NVarChar, ) { Value = "%" + txtBookName.Text.Trim() + "%" });

            }

            if (txtAuthor.Text.Trim().Length > )

            {

                //sbSQL.Append("  Author like @author");

                wheres.Add("   Author like @author  ");

                listParameters.Add(new SqlParameter("@author", SqlDbType.NVarChar, ) { Value = "%" + txtAuthor.Text.Trim() + "%" });

            }

            if (txtPub.Text.Trim().Length > )

            {

                // sbSQL.Append(" Pub like @pub ");

                wheres.Add("   Pub like @pub ");

                listParameters.Add(new SqlParameter("@pub", SqlDbType.NVarChar, ) { Value = "%" + txtPub.Text.Trim() + "%" });

            }

            //拼接SQL语句

            //如果wheres集合当中的记录条数大于0,证明用户输入了条件

            if (wheres.Count > )

            {

                sbSQL.Append(" where ");//只要有查询条件就拼接一个where

                //然后把后面的查询条件拼接起来。

                sbSQL.Append(string.Join(" and ", wheres));

            }

            SqlParameter[] pms = listParameters.ToArray();

            MessageBox.Show(sbSQL.ToString());

            //SqlHelper.ExecuteReader(sbSQL.ToString(),pms);

            //SqlCommand cmd = new SqlCommand();

            //cmd.Parameters.AddRange(

        }

    }

知识点:

1.sql拼接

2.参数化查询

3以下部分看起来简单,但却很难想到。

      //在wheres集合中保存查询的sql条件

         List<string> wheres = new List<string>();
      //把参数也放到一个集合当中
        List<SqlParameter> listParameters = new List<SqlParameter>();
            if (wheres.Count > 0)

            {

                sbSQL.Append(" where ");//只要有查询条件就拼接一个where

                //然后把后面的查询条件拼接起来。

                sbSQL.Append(string.Join(" and ", wheres));

            }

            SqlParameter[] pms = listParameters.ToArray();

多条件搜索问题 -sql拼接与参数化查询的更多相关文章

  1. Sql Server 的参数化查询

    为什么要使用参数化查询呢?参数化查询写起来看起来都麻烦,还不如用拼接sql语句来的方便快捷.当然,拼接sql语句执行查询虽然看起来方便简洁,其实不然.远没有参数化查询来的安全和快捷. 今天刚好了解了一 ...

  2. 防止sql注入的参数化查询

    参数化查询为什么能够防止SQL注入 http://netsecurity.51cto.com/art/201301/377209.htm OleDbDataAdapter Class http://m ...

  3. SQL注入与参数化查询

    SQL注入的本质 SQL注入的实质就是通过SQL拼接字符串追加命令,导致SQL的语义发生了变化.为什么发生了改变呢? 因为没有重用以前的执行计划,而是对注入后的SQL语句重新编译,然后重新执行了语法解 ...

  4. 多条件搜索优化sql

    SELECT ctm.* FROM crawltaskmanage ctm,urlmanage um WHERE (ctm.status='0' AND um.`urlId`=ctm.`urlId`) ...

  5. 从sp_executesql中返回table型数据及动态SQL语句的参数化查询

    在返回分页数据时,我们会经常会用到参数化传递过滤条件,如何拼接SQL语句成了一个难题. 我们可以这样拼接: exec('sp_executesql sql语句,参数定义,参数值') sql语句和参数定 ...

  6. 【转】Sql Server参数化查询之where in和like实现之xml和DataTable传参

    转载至: http://www.cnblogs.com/lzrabbit/archive/2012/04/29/2475427.html 在上一篇Sql Server参数化查询之where in和li ...

  7. Sql Server参数化查询之where in和like实现之xml和DataTable传参 (转)

    在上一篇Sql Server参数化查询之where in和like实现详解中介绍了在Sql Server使用参数化查询where in的几种实现方案,遗漏了xml和表值参数,这里做一个补充 文章导读 ...

  8. SQL Server通过条件搜索获取相关的存储过程等对象

    在SQL Server中,我们经常遇到一些需求,需要去搜索存储过程(Procedure).函数(Function)等对象是否包含某个对象或涉及某个对象,例如,我需要查找那些存储过程.函数是否调用了链接 ...

  9. SQL参数化查询

    参数化查询(Parameterized Query 或 Parameterized Statement)是指在设计与数据库链接并访问数据时,在需要填入数值或数据的地方,使用参数 (Parameter) ...

随机推荐

  1. CS中窗体的基类(BaseForm)注意点

    窗体基类最好新建一个窗体(BaseForm) 1.这样能够保证在VS中保证他的派生窗口也能够可视化. 2.如果基类直接是一个cs类文件,对于处理派生窗口就很复杂,比如按钮权限之类的操作; 如果直接继承 ...

  2. 使用ABP框架踩过的坑系列3

    从架构角度来讲,ApplicationService究竟应该如何定位,一种说法是直接对应用例UseCase, 也就是直接对应UI, 这个UI是广义的,不仅仅是浏览器的页面,也包括API调用.还是从我曾 ...

  3. EF 多对多循环引用序列化失败 解决办法

    错误:Self referencing loop detected with type 'System.Data.Entity.DynamicProxies.tbldph_901D48A194FB31 ...

  4. Android 创建自定义 View 的属性 (attrs) 时需要注意的问题

    自定义 View 的属性并不难,可以参照官方的文档 https://developer.android.com/training/custom-views/create-view.html 但是需要注 ...

  5. Open GL的学习路程

    一.EGL的使用 1.Dispaly与原生窗口的链接 -EGLDisplay  eglGetDisplay -EGLBoolean  egllinitialize 2.Surface 配置和创建sur ...

  6. nodejs 像 C 语言那样输出当前代码的行数

    http://stackoverflow.com/questions/11386492/accessing-line-number-in-v8-javascript-chrome-node-js Ob ...

  7. sql盲注之报错注入(附自动化脚本)

    作者:__LSA__ 0x00 概述 渗透的时候总会首先测试注入,sql注入可以说是web漏洞界的Boss了,稳居owasp第一位,普通的直接回显数据的注入现在几乎绝迹了,绝大多数都是盲注了,此文是盲 ...

  8. 解决Windows 8.1 应用商店中安装程序挂起的解决

    阅读目录: 在Windows 8.1系统的应用程序商店中安装程序时,总是提醒“挂起”状态.无法进行后续安装,看了下国内不少用户有这个困扰,特此总结自己的解决方案. 1. 确保Windows updat ...

  9. VSCode保存插件配置并使用 gist 管理代码片段

    setting sync 保存配置 由于公司和家里都使用 VSCode 作为主要编辑器,同步配置是最紧要的.VSCode 提供了setting sync插件,很方便我们同步插件配置.引用网上教程: 在 ...

  10. struts+spring+hibernate两张表字段名一样处理方法

    在利用struts2+spring+hibernate(利用Hibernate进行分页查询)三大框架进行开发项目的时候,出现一个问题:居然要进行关联查询的十几张表中有两张表的字段一样,并且这两张表中的 ...