答案:C#中执行数据库模糊查询常用LIKE操作符结合ADO.net或Entity Framework实现。1. 使用ADO.NET时通过sqlCommand参数化查询防止sql注入,如”Name LIKE @keyword”并传入”%张%”形式的参数;2. 使用Entity Framework时可直接调用Contains、StartsWith、EndsWith方法,自动生成对应LIKE语句;3. 动态拼接需谨慎,必须使用参数化避免安全风险;4. 搜索含特殊字符时应使用ESCAPE关键字转义。核心是参数化查询防注入,合理使用通配符,优先选用EF简化开发。
在C#中执行数据库模糊查询,通常使用sql语句中的 LIKE 操作符,并结合 ADO.NET 或 ORM 框架(如 Entity Framework)来实现。下面介绍几种常见方式。
1. 使用 ADO.NET 执行 LIKE 查询
通过 SqlCommand 和参数化查询,可以安全地执行模糊匹配,防止sql注入。
示例:查询姓名包含“张”的用户
using (SqlConnection conn = new SqlConnection(connectionString)) { conn.Open(); string keyword = "张"; string sql = "SELECT * FROM Users WHERE Name LIKE @keyword"; <pre class="brush:php;toolbar:false;"><pre class="brush:php;toolbar:false;">using (SqlCommand cmd = new SqlCommand(sql, conn)) { cmd.Parameters.AddWithValue("@keyword", "%" + keyword + "%"); using (SqlDataReader reader = cmd.ExecuteReader()) { while (reader.Read()) { Console.WriteLine(reader["Name"]); } } }
}
% 表示任意数量的字符(包括零个),_ 表示单个字符。例如:
- @”%张%”:姓名中包含“张”
- @”张%”:姓名以“张”开头
- @”%张”:姓名以“张”结尾
2. 使用 Entity Framework 进行模糊查询
在 EF 中,可以使用 Contains、StartsWith、EndsWith 方法,它们会被自动翻译成 SQL 的 LIKE 语句。
示例:
// 包含“张” var result = context.Users.Where(u => u.Name.Contains("张")).ToList(); <p>// 以“张”开头 var result = context.Users.Where(u => u.Name.StartsWith("张")).ToList();</p><p>// 以“张”结尾 var result = context.Users.Where(u => u.Name.EndsWith("张")).ToList();
这些方法生成的SQL会自动使用 LIKE 和通配符,比如:Name LIKE '%张%'。
3. 动态拼接 LIKE 条件(需谨慎)
虽然不推荐直接拼接SQL字符串,但在某些动态场景下可能需要手动构造 LIKE 子句。
务必使用参数化查询避免SQL注入,如下:
string pattern = "%" + userInput + "%"; cmd.CommandText = "SELECT * FROM Users WHERE Name LIKE @pattern"; cmd.Parameters.AddWithValue("@pattern", pattern);
4. 处理特殊字符
如果搜索关键词包含 LIKE 的特殊字符(如 %、_、[、]),应进行转义。
可以在SQL中使用 ESCAPE 关键字指定转义符:
cmd.Parameters.AddWithValue("@keyword", "%张[%]%"); cmd.CommandText = "SELECT * FROM Users WHERE Name LIKE @keyword ESCAPE ']'";
基本上就这些。关键点是:用参数化查询保证安全,合理使用 % 和 _ 通配符,优先使用 EF 提供的字符串方法简化开发。实际使用时根据技术栈选择合适的方式即可。