最近学习过程中,用到like语句,但为了防止sql注入,所以得使用sql参数化的方法进行查询。发现使用like语句时,不同于直接的查询。尝试了几次,都没有成功。
直接查询时的写法为:
select 字段 from 表 where 字段=@parameter; SqlParameter s1 = new SqlParameter("@parameter",parameter);
而在like语句中为:
string sql = "select 字段 from 表 where 字段 like @keywords "; SqlParameter s1 = new SqlParameter("@keywords", "%" + keywords +"%");
这种写法实现了sql like语句的参数化查询.