来源:传智播客  免费开发视频。

问题:根据书名或出版社或作者查询书籍信息。

using System;

using System.Collections.Generic问题;

using System.ComponentModel;

using System.Data;

using System.Drawing;

using System.Linq;

using System.Text;

using System.Windows.Forms;

using System.Data.SqlClient;

namespace _01多条件搜索问题

{

    public partial class Form1 : Form

    {

        public Form1()

        {

            InitializeComponent();

        }

        private void button1_Click(object sender, EventArgs e)

        {

            //假设表名:Books

            //列名:BookName(书名)、Author(作者)、Pub(出版社)

            //多条件查询,要根据用户输入的内容来动态拼接SQL语句。

            //1.假设如果用户没有输入任何条件,那么就查询出所有的记录

            StringBuilder sbSQL = new StringBuilder("select * from Books ");

            //在wheres集合中保存查询的sql条件

            List<string> wheres = new List<string>();

            //把参数也放到一个集合当中

            List<SqlParameter> listParameters = new List<SqlParameter>();

            //2.如果用户输入了条件,则根据用户输入的条件动态拼接SQL语句

            if (txtBookName.Text.Trim().Length > )

            {

                //sbSQL.Append("  BookName like @bkName");

                wheres.Add("  BookName like @bkName");

                listParameters.Add(new SqlParameter("@bkName", SqlDbType.NVarChar, ) { Value = "%" + txtBookName.Text.Trim() + "%" });

            }

            if (txtAuthor.Text.Trim().Length > )

            {

                //sbSQL.Append("  Author like @author");

                wheres.Add("   Author like @author  ");

                listParameters.Add(new SqlParameter("@author", SqlDbType.NVarChar, ) { Value = "%" + txtAuthor.Text.Trim() + "%" });

            }

            if (txtPub.Text.Trim().Length > )

            {

                // sbSQL.Append(" Pub like @pub ");

                wheres.Add("   Pub like @pub ");

                listParameters.Add(new SqlParameter("@pub", SqlDbType.NVarChar, ) { Value = "%" + txtPub.Text.Trim() + "%" });

            }

            //拼接SQL语句

            //如果wheres集合当中的记录条数大于0,证明用户输入了条件

            if (wheres.Count > )

            {

                sbSQL.Append(" where ");//只要有查询条件就拼接一个where

                //然后把后面的查询条件拼接起来。

                sbSQL.Append(string.Join(" and ", wheres));

            }

            SqlParameter[] pms = listParameters.ToArray();

            MessageBox.Show(sbSQL.ToString());

            //SqlHelper.ExecuteReader(sbSQL.ToString(),pms);

            //SqlCommand cmd = new SqlCommand();

            //cmd.Parameters.AddRange(

        }

    }

知识点:

1.sql拼接

2.参数化查询

3以下部分看起来简单,但却很难想到。

      //在wheres集合中保存查询的sql条件

         List<string> wheres = new List<string>();
      //把参数也放到一个集合当中
        List<SqlParameter> listParameters = new List<SqlParameter>();
            if (wheres.Count > 0)

            {

                sbSQL.Append(" where ");//只要有查询条件就拼接一个where

                //然后把后面的查询条件拼接起来。

                sbSQL.Append(string.Join(" and ", wheres));

            }

            SqlParameter[] pms = listParameters.ToArray();

多条件搜索问题 -sql拼接与参数化查询的更多相关文章

  1. Sql Server 的参数化查询

    为什么要使用参数化查询呢?参数化查询写起来看起来都麻烦,还不如用拼接sql语句来的方便快捷.当然,拼接sql语句执行查询虽然看起来方便简洁,其实不然.远没有参数化查询来的安全和快捷. 今天刚好了解了一 ...

  2. 防止sql注入的参数化查询

    参数化查询为什么能够防止SQL注入 http://netsecurity.51cto.com/art/201301/377209.htm OleDbDataAdapter Class http://m ...

  3. SQL注入与参数化查询

    SQL注入的本质 SQL注入的实质就是通过SQL拼接字符串追加命令,导致SQL的语义发生了变化.为什么发生了改变呢? 因为没有重用以前的执行计划,而是对注入后的SQL语句重新编译,然后重新执行了语法解 ...

  4. 多条件搜索优化sql

    SELECT ctm.* FROM crawltaskmanage ctm,urlmanage um WHERE (ctm.status='0' AND um.`urlId`=ctm.`urlId`) ...

  5. 从sp_executesql中返回table型数据及动态SQL语句的参数化查询

    在返回分页数据时,我们会经常会用到参数化传递过滤条件,如何拼接SQL语句成了一个难题. 我们可以这样拼接: exec('sp_executesql sql语句,参数定义,参数值') sql语句和参数定 ...

  6. 【转】Sql Server参数化查询之where in和like实现之xml和DataTable传参

    转载至: http://www.cnblogs.com/lzrabbit/archive/2012/04/29/2475427.html 在上一篇Sql Server参数化查询之where in和li ...

  7. Sql Server参数化查询之where in和like实现之xml和DataTable传参 (转)

    在上一篇Sql Server参数化查询之where in和like实现详解中介绍了在Sql Server使用参数化查询where in的几种实现方案,遗漏了xml和表值参数,这里做一个补充 文章导读 ...

  8. SQL Server通过条件搜索获取相关的存储过程等对象

    在SQL Server中,我们经常遇到一些需求,需要去搜索存储过程(Procedure).函数(Function)等对象是否包含某个对象或涉及某个对象,例如,我需要查找那些存储过程.函数是否调用了链接 ...

  9. SQL参数化查询

    参数化查询(Parameterized Query 或 Parameterized Statement)是指在设计与数据库链接并访问数据时,在需要填入数值或数据的地方,使用参数 (Parameter) ...

随机推荐

  1. C#中获取用户登录IP地址

    using System.Net; //导入命名空间 public string getLocalIP() { string strHostName = Dns.GetHostName(); //得到 ...

  2. 统计进程打开了多少文件,定位too many open files

    [root@ostack1 ~]# lsof -p 18628 | wc -l 114

  3. python 进程、线程、协程感悟

    进程: 感觉只是使用Process模块加以使用即可: # -*- coding: utf-8 -*- # data:2019-02-23 21:23 # user:DIY # file:thread_ ...

  4. Java抽象工厂模式

    Java抽象工厂模式 基本定义 抽象工厂模式是所有形态的工厂模式中最为抽象和最其一般性的.抽象工厂模式可以向客户端提供一个接口,使得客户端在不必指定产品的具体类型的情况下,能够创建多个产品族的产品对象 ...

  5. 配置豆瓣镜像作为python 库的下载源

    配置豆瓣镜像作为python 库的下载源 Windows 下如下配置:

  6. 剑指offer六十一之序列化二叉树(待补充)

    一.题目 请实现两个函数,分别用来序列化和反序列化二叉树二.思路 三.代码 --------------------------------------------- 参考链接:

  7. centos 6.8 解决ibus输入法不正常显示的问题

    今天发现 ibus输入法打字时不正常显示,如下图

  8. python网络爬虫技术图谱

  9. 【jQuery源码】DOM Ready

    一直以来,各种JS最佳实践都会告诉我们,将JS放在HTML的最后,即</body>之前,理由就是:JS会阻塞下载,而且,在JS中很有可能有对DOM的操作,放在HTML的最后,可以尽可能的保 ...

  10. tomcat在eclipse创建过程分析

    在本地eclipse上创建一个tomcat server 即tomcat服务器时, 会复制一份tomca安装目录中的conf文件下的配置文件到这个tomcat server目录下 这个tomcat s ...