我有一个SQL表,我试图搜索与用户提供的动态搜索字符串匹配的订单,然后用结果填充OrderDataTable.这是C#代码:
CmdString = "SELECT * FROM SQL_TABLE WHERE (CHARINDEX('@searchstring', ordernumber) > 0 OR CHARINDEX('@searchstring', customername) > 0)" using (SqlConnection conn = new SqlConnection(ConnectionString)) { using (SqlCommand comm = new SqlCommand()) { comm.Connection = conn; comm.Parameters.AddWithValue("@searchstring", OrderDisplayViewModel.SearchString); comm.CommandText = CmdString; using (SqlDataAdapter sda = new SqlDataAdapter(comm)) { using (DataTable tempdatatable = new DataTable()) { sda.Fill(tempdatatable); OrderDataTable.Merge(tempdatatable); } } } }
即使对于我在SSMS中运行的返回大量结果的查询,也不会返回任何结果.此外,当我删除参数化并用搜索框中的文本替换@searchstring时,查询功能正常.我不想让应用程序开放注入,但我无法弄清楚我使用参数的方式有什么问题.
你的意思是:
CHARINDEX(@searchstring, ordernumber)
不
CHARINDEX('@searchstring', ordernumber)
(同样customername
)
@searchstring
是参数; '@searchstring'
是一个文字字符串,包含从中开始@
和结尾的13个字符g
.