如何解决如何将 MySQL 查询中的单引号与 VB.NET 参数连接起来?
如果我使用参数,我正在使用 VB.NET 中的 MysqLCommand 对象进行 MysqL Select 查询。我面临一个问题,在我的 where 子句中,我需要将标准的值放入单引号中,我尝试使用反斜杠 ' (\') 来转义单引号,但它不起作用。我也使用了双引号,同样的问题。有人可以帮助我吗?在 VB.NET 中使用带有参数的 MysqLCommand 对象并希望我的参数值在查询中使用单引号时,我需要做一些特定的事情吗?
Public Shared Function getGeographyUnits(critere As String,valeur As String) As List(Of geography_unit)
Dim conn As MysqLConnection = dbutils.GetDBConnection()
Dim rdr As MysqLDataReader
conn.open()
Dim cmd As MysqLCommand = New MysqLCommand("select ID,description from geography_unit where @critere = ''@valeur''",conn)
cmd.Parameters.AddWithValue("@critere",critere)
cmd.Parameters.AddWithValue("@valeur",valeur)
rdr = cmd.ExecuteReader()
Dim geography_units As New List(Of geography_unit)
While rdr.Read
Dim geography_unit As New geography_unit
Try
geography_unit.ID = CLng(rdr("Id"))
geography_unit.description = rdr("description")
Catch ex As Exception
End Try
geography_units.Add(geography_unit)
End While
rdr.Close()
conn.Close()
Return geography_units
End Function
实际上,我希望我的查询的 cmdText 在渲染后是这样的:
select ID,description from geography_unit where critere = 'valeur'
这个问题主要是因为我使用了参数,我该如何解决?
解决方法
你需要用这样的东西来修复你的代码。但请注意几点。
如果@valeur 用单引号括起来,它就不再是参数占位符,而是字符串常量,并且不会使用与占位符关联的参数。
连接应始终包含在 using 语句中,以避免服务器上的危险资源消耗
如果您想要一个变量列表应用valeur 传递的字段,那么您需要绝对确保您的用户不被允许键入critere 的值em>。您应该提供某种控件,例如组合框或 dropdwonlist,其中用户只能在一组带前缀的值之间进行选择,然后您可以将 critere 变量连接到您的 sql 命令。
Public Shared Function getGeographyUnits(critere As String,valeur As String) As List(Of geography_unit)
Using conn As MySqlConnection = DBUtils.GetDBConnection()
Dim sqlText As String = "select ID,description from geography_unit"
conn.Open()
If Not String.IsNullOrEmpty(critere) Then
sqlText = sqlText & " where " & critere & " = @valeur"
End If
Dim cmd As MySqlCommand = New MySqlCommand(sqlText,conn)
cmd.Parameters.Add("@valeur",MySqlDbType.VarChar).Value = valeur
Using rdr As MySqlDataReader = cmd.ExecuteReader()
Dim geography_units As New List(Of geography_unit)
While rdr.Read
Dim geography_unit As New geography_unit
Try
geography_unit.ID = CLng(rdr("Id"))
geography_unit.description = rdr("description")
Catch ex As Exception
End Try
geography_units.Add(geography_unit)
End While
End Using
' rdr.Close() not needed when inside using
' conn.Close() not needed when inside using
Return geography_units
End Using
End Function
另外值得注意的一点是,我使用了 Add 方法将参数添加到集合中。 AddWithValue 虽然方便,但却是 lot of bugs 的原因,因为它定义了查看接收到的参数的参数类型。当您直接从字符串传递日期或十进制数字时,这可能会以非常糟糕的方式结束。
,很简单,因为 valeur 是一个字符串,那么您的查询需要如下
"select ID,description from geography_unit where critere = '" & valeur & "'"
如果 valeur 是数字那么格式应该如下 "从 geography_unit 中选择 ID,描述 where critere = " & valeur
注意当变量是字符串时单引号包含在双引号中的区别。
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。
