答案:C#中执行数据库模糊查询常用LIKE操作符结合ADO.NET或Entity Framework实现。1. 使用ADO.NET时通过SqlCommand参数化查询防止SQL注入,如"Name LIKE @keyword"并传入"%张%"形式的参数;2. 使用Entity Framework时可直接调用Contains、StartsWith、EndsWith方法,自动生成对应LIKE语句;3. 动态拼接需谨慎,必须使用参数化避免安全风险;4. 搜索含特殊字符时应使用ESCAPE关键字转义。核心是参数化查询防注入,合理使用通配符,优先选用EF简化开发。
在C#中执行数据库模糊查询,通常使用SQL语句中的 LIKE 操作符,并结合 ADO.NET 或 ORM 框架(如 Entity Framework)来实现。下面介绍几种常见方式。
通过 SqlCommand 和参数化查询,可以安全地执行模糊匹配,防止SQL注入。
示例:查询姓名包含“张”的用户
using (SqlConnection conn = new SqlConnection(connectionString))
{
conn.Open();
string keyword = "张";
string sql = "SELECT * FROM Users WHERE Name LIKE @keyword";
<pre class="brush:php;toolbar:false;"><pre class="brush:php;toolbar:false;">using (SqlCommand cmd = new SqlCommand(sql, conn))
{
cmd.Parameters.AddWithValue("@keyword", "%" + keyword + "%");
using (SqlDataReader reader = cmd.ExecuteReader())
{
while (reader.Read())
{
Console.WriteLine(reader["Name"]);
}
}
}}
% 表示任意数量的字符(包括零个),_ 表示单个字符。例如:
在 EF 中,可以使用 Contains、StartsWith、EndsWith 方法,它们会被自动翻译成 SQL 的 LIKE 语句。
示例:// 包含“张”
var result = context.Users.Where(u => u.Name.Contains("张")).ToList();
<p>// 以“张”开头
var result = context.Users.Where(u => u.Name.StartsWith("张")).ToList();</p><p>// 以“张”结尾
var result = context.Users.Where(u => u.Name.EndsWith("张")).ToList();这些方法生成的SQL会自动使用 LIKE 和通配符,比如:Name LIKE '%张%'。
虽然不推荐直接拼接SQL字符串,但在某些动态场景下可能需要手动构造 LIKE 子句。
务必使用参数化查询避免SQL注入,如下:
string pattern = "%" + userInput + "%";
cmd.CommandText = "SELECT * FROM Users WHERE Name LIKE @pattern";
cmd.Parameters.AddWithValue("@pattern", pattern);如果搜索关键词包含 LIKE 的特殊字符(如 %、_、[、]),应进行转义。
可以在SQL中使用 ESCAPE 关键字指定转义符:
cmd.Parameters.AddWithValue("@keyword", "%张[%]%");
cmd.CommandText = "SELECT * FROM Users WHERE Name LIKE @keyword ESCAPE ']'";基本上就这些。关键点是:用参数化查询保证安全,合理使用 % 和 _ 通配符,优先使用 EF 提供的字符串方法简化开发。实际使用时根据技术栈选择合适的方式即可。
以上就是C#中如何执行数据库的模糊查询?LIKE操作怎么做?的详细内容,更多请关注php中文网其它相关文章!
每个人都需要一台速度更快、更稳定的 PC。随着时间的推移,垃圾文件、旧注册表数据和不必要的后台进程会占用资源并降低性能。幸运的是,许多工具可以让 Windows 保持平稳运行。
Copyright 2014-2025 https://www.php.cn/ All Rights Reserved | php.cn | 湘ICP备2023035733号
758
收藏
