C# SqlSugar 怎样使用Sql语句进行查询,并带参数进行查询,防注入
一般ORM查询单表数据已经是很简朴的一种方式了详情可以看我的另一篇文章:ORM C# 封装SqlSugar 操作数据库_sqlsugar 基类封装-CSDN博客
下面是先容有些数据是需要比较复杂的SQL语句来进行查询的时候,则需要自行组装SQL语句来进行查询,下面先容的是 组装SQL查询语句并获取数据的一个示例。
用参数化查询是为了防SQL注入,一般是不建议直接用字符串的方式拼接字符串的。
下面代码已经有注释了,都能看懂,盼望能帮助到各人。
//查询语句组装
StringBuilder sqlStr=new StringBuilder();
//参数列表
List<SugarParameter> parameters = new List<SugarParameter>();
//主表查询
sqlStr.Append("SELECT *FROM t_material ");
//拼装Where条件
string where = string.Empty;
if(!string.IsNullOrEmpty(mCode))
{
//如果编号不为空,则添加条件
where += " MaterialCode=@mCode AND";
//参数列表也同时添加
parameters.Add(new SugarParameter("@mCode",mCode));
}
if (!string.IsNullOrEmpty(mName))
{
//名称进行模糊查询
where += " MaterialName LIKE @mName AND";
//参数中添加%
parameters.Add(new SugarParameter("@mName", $"%{mName}%"));
}
if(notShowZero)
{
//此处是判断其他表的一些限制条件判断库存数量大于0
where += " MaterialCode IN (SELECT MaterialCode FROM t_materialstock WHERE StockNum>0) AND";
}
if(!string.IsNullOrEmpty(where))
{
//如果Where条件不为空,则添加WHERE
sqlStr.Append(" WHERE ");
//删除最后的AND字符
where = where.TrimEnd(new char[] { 'A', 'N', 'D' });
sqlStr.Append(where);
}
//添加SQL语句
var sql= base.DB.SqlQueryable<t_material>(sqlStr.ToString());
//添加参数
sql.AddParameters(parameters);
//最后一个分页查询
return sql.ToPageList(page,pageSize,ref total);
免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作!更多信息从访问主页:qidao123.com:ToB企服之家,中国第一个企服评测及商务社交产业平台。
页:
[1]