来源:传智播客  免费开发视频。

问题:根据书名或出版社或作者查询书籍信息。

using System;

using System.Collections.Generic问题;

using System.ComponentModel;

using System.Data;

using System.Drawing;

using System.Linq;

using System.Text;

using System.Windows.Forms;

using System.Data.SqlClient;

namespace _01多条件搜索问题

{

    public partial class Form1 : Form

    {

        public Form1()

        {

            InitializeComponent();

        }

        private void button1_Click(object sender, EventArgs e)

        {

            //假设表名:Books

            //列名:BookName(书名)、Author(作者)、Pub(出版社)

            //多条件查询,要根据用户输入的内容来动态拼接SQL语句。

            //1.假设如果用户没有输入任何条件,那么就查询出所有的记录

            StringBuilder sbSQL = new StringBuilder("select * from Books ");

            //在wheres集合中保存查询的sql条件

            List<string> wheres = new List<string>();

            //把参数也放到一个集合当中

            List<SqlParameter> listParameters = new List<SqlParameter>();

            //2.如果用户输入了条件,则根据用户输入的条件动态拼接SQL语句

            if (txtBookName.Text.Trim().Length > )

            {

                //sbSQL.Append("  BookName like @bkName");

                wheres.Add("  BookName like @bkName");

                listParameters.Add(new SqlParameter("@bkName", SqlDbType.NVarChar, ) { Value = "%" + txtBookName.Text.Trim() + "%" });

            }

            if (txtAuthor.Text.Trim().Length > )

            {

                //sbSQL.Append("  Author like @author");

                wheres.Add("   Author like @author  ");

                listParameters.Add(new SqlParameter("@author", SqlDbType.NVarChar, ) { Value = "%" + txtAuthor.Text.Trim() + "%" });

            }

            if (txtPub.Text.Trim().Length > )

            {

                // sbSQL.Append(" Pub like @pub ");

                wheres.Add("   Pub like @pub ");

                listParameters.Add(new SqlParameter("@pub", SqlDbType.NVarChar, ) { Value = "%" + txtPub.Text.Trim() + "%" });

            }

            //拼接SQL语句

            //如果wheres集合当中的记录条数大于0,证明用户输入了条件

            if (wheres.Count > )

            {

                sbSQL.Append(" where ");//只要有查询条件就拼接一个where

                //然后把后面的查询条件拼接起来。

                sbSQL.Append(string.Join(" and ", wheres));

            }

            SqlParameter[] pms = listParameters.ToArray();

            MessageBox.Show(sbSQL.ToString());

            //SqlHelper.ExecuteReader(sbSQL.ToString(),pms);

            //SqlCommand cmd = new SqlCommand();

            //cmd.Parameters.AddRange(

        }

    }

知识点:

1.sql拼接

2.参数化查询

3以下部分看起来简单,但却很难想到。

      //在wheres集合中保存查询的sql条件

         List<string> wheres = new List<string>();
      //把参数也放到一个集合当中
        List<SqlParameter> listParameters = new List<SqlParameter>();
            if (wheres.Count > 0)

            {

                sbSQL.Append(" where ");//只要有查询条件就拼接一个where

                //然后把后面的查询条件拼接起来。

                sbSQL.Append(string.Join(" and ", wheres));

            }

            SqlParameter[] pms = listParameters.ToArray();

多条件搜索问题 -sql拼接与参数化查询的更多相关文章

  1. Sql Server 的参数化查询

    为什么要使用参数化查询呢?参数化查询写起来看起来都麻烦,还不如用拼接sql语句来的方便快捷.当然,拼接sql语句执行查询虽然看起来方便简洁,其实不然.远没有参数化查询来的安全和快捷. 今天刚好了解了一 ...

  2. 防止sql注入的参数化查询

    参数化查询为什么能够防止SQL注入 http://netsecurity.51cto.com/art/201301/377209.htm OleDbDataAdapter Class http://m ...

  3. SQL注入与参数化查询

    SQL注入的本质 SQL注入的实质就是通过SQL拼接字符串追加命令,导致SQL的语义发生了变化.为什么发生了改变呢? 因为没有重用以前的执行计划,而是对注入后的SQL语句重新编译,然后重新执行了语法解 ...

  4. 多条件搜索优化sql

    SELECT ctm.* FROM crawltaskmanage ctm,urlmanage um WHERE (ctm.status='0' AND um.`urlId`=ctm.`urlId`) ...

  5. 从sp_executesql中返回table型数据及动态SQL语句的参数化查询

    在返回分页数据时,我们会经常会用到参数化传递过滤条件,如何拼接SQL语句成了一个难题. 我们可以这样拼接: exec('sp_executesql sql语句,参数定义,参数值') sql语句和参数定 ...

  6. 【转】Sql Server参数化查询之where in和like实现之xml和DataTable传参

    转载至: http://www.cnblogs.com/lzrabbit/archive/2012/04/29/2475427.html 在上一篇Sql Server参数化查询之where in和li ...

  7. Sql Server参数化查询之where in和like实现之xml和DataTable传参 (转)

    在上一篇Sql Server参数化查询之where in和like实现详解中介绍了在Sql Server使用参数化查询where in的几种实现方案,遗漏了xml和表值参数,这里做一个补充 文章导读 ...

  8. SQL Server通过条件搜索获取相关的存储过程等对象

    在SQL Server中,我们经常遇到一些需求,需要去搜索存储过程(Procedure).函数(Function)等对象是否包含某个对象或涉及某个对象,例如,我需要查找那些存储过程.函数是否调用了链接 ...

  9. SQL参数化查询

    参数化查询(Parameterized Query 或 Parameterized Statement)是指在设计与数据库链接并访问数据时,在需要填入数值或数据的地方,使用参数 (Parameter) ...

随机推荐

  1. telerik自定义皮肤的制作及用法

    1. 打开telerik 官网 http://stylebuilder.telerik.com/ 2. 选择一个皮肤做为基础皮肤,并选择要制作的控件,并新取一个名字.比如选择皮肤Silk为基础皮肤,新 ...

  2. mySql数据库 C#使用guid

    CHAR(36) 如果某列设置为CHAR(36),则MySQL官方的连接器会将其当成 GUID 类型.实际上,有时候 某个字段碰巧设为可CHAR(36), 但是我们的本意并非当它是GUID. varc ...

  3. .net core Memcached使用

    首先,你要在你电脑上安装配置好Memcached环境哦 Startup类的ConfigureServices中加入 //memcachedcore1 services.AddEnyimMemcache ...

  4. 编程哲学之C#篇:01——创世纪

    我们能否像神一样地创建一个世界? 对于创建世界而言,程序员的创作能力最接近于神--相对于导演,作家,漫画家而言,他们创建的世界(作品)一旦完成,就再也不会变化,创建的角色再也不会成长.而程序员创建的世 ...

  5. Interesting JavaScript

    作者:ManfredHu 链接:http://www.manfredhu.com/2016/07/07/20-interestingJavascript 声明:版权所有,转载请保留本段信息,否则请不要 ...

  6. CSS2.1SPEC:视觉格式化模型之width属性详解(下)

    本文承接CSS2.1SPEC:视觉格式化模型之width属性详解(上),继续分析CSS视觉格式化模型中width以及相关值的计算问题: 注:与上节不同,本节的demo中由于出现了float,absol ...

  7. AJPFX的资金安全性

    AJPFX承诺保证客户资金安全,并严格按照英国的相关规章制度从事经营活动.客户资金存放于投资级银行的独立账户中.通过实行公司资产与客户资金分别保管,在发生无偿债能力的罕见情况下,客户可获退还独立存放资 ...

  8. Android Studio无法连接真机的问题?

    我不说,你可能又浪费半天时间,最后的结果,你可能还是没能解决!!! 现在,一般安卓手机为了安装软件方便,一般都安装了豌豆荚,但是,就是这个豌豆荚占用了Android Studio的ADB端口,导致An ...

  9. Django 框架中定时触发脚本

    方法一: Django搭建的服务器一般都用作WEB网站进行访问,通常的形式是用户访问网站或点击按钮发送请求,Django检测到请求后进行相应的试图函数处理后返回页面给用户. 但是,我们有时会需要有一些 ...

  10. Stack栈类与、Queue队列与线性表的区别和联系

    栈和队列都属于特殊的线性表   一.定义   1.线性表(linear list): 是数据结构的一种,一个线性表是n个具有相同特性的数据元素的有限序列.数据元素是一个抽象的符号,其具体含义在不同的情 ...