logo标签列表

转义转义字符无效- SQL LIKE运算符

c#sqlsql-serverlinqado.net
4

我在使用LIKE运算符时,将\作为转义字符,并对以下四个字符进行转义:

1 % 2 [ 3 ] 4 _

但当我将转义字符作为输入传递时,查询结果为空。如何让它正常工作?

数据插入

DECLARE @Text VARCHAR(MAX)
SET @Text = 'Error \\\ \\  C:\toolbox\line 180'

INSERT INTO Account (AccountNumber,AccountType,Duration,ModifiedTime) 
VALUES (198,@Text,1,GETDATE())

代码

    static void Main(string[] args)
    {

        string searchValue1 = @"Error \\\ \\  C:\toolbox\line 180";
        string searchValue2 = @"55555";

        string result1 = DisplayTest(searchValue1);
        string result2 =  DisplayTest(searchValue2);

        Console.WriteLine("result1:: " + result1);
        Console.WriteLine("result2:: " + result2);
        Console.ReadLine();

    }}


     private static string DisplayTest(string searchValue)
    {
        searchValue = CustomFormat(searchValue);


        string test = String.Empty;
        string connectionString = "Data Source=.;Initial Catalog=LibraryReservationSystem;Integrated Security=True;Connect Timeout=30";

        using (SqlConnection connection = new SqlConnection(connectionString))
        {
            connection.Open();
            string commandText = @"SELECT AccountType,* 
                              FROM Account 
                              WHERE AccountType LIKE @input ESCAPE '\'";
            using (SqlCommand command = new SqlCommand(commandText, connection))
            {
                command.CommandType = System.Data.CommandType.Text;
                command.Parameters.AddWithValue("@input", "%" + searchValue + "%");

                using (SqlDataReader reader = command.ExecuteReader())
                {
                    if (reader.HasRows)
                    {
                        while (reader.Read())
                        {

                            test = reader.GetString(0);
                        }
                    }
                }
            }
        }

        return test;
    }


    private static string CustomFormat(string input)
    {
        input = input.Replace(@"%", @"\%");
        input = input.Replace(@"[", @"\[");
        input = input.Replace(@"]", @"\]");
        input = input.Replace(@"_", @"\_");
        //input = input.Replace(@"\", @"\\");
        return input;
    }

参考资料:

  1. 如何在LIKE语句中转义方括号?
  2. 如何为在SQL Server中使用LIKE运算符而转义字符串?
1
你是否考虑过使用一个在C#中既不是特殊字符,又不会自然出现在数据或搜索字符串中的转义字符? - Aaron Bertrand
你的 SQL 语句与你提供的代码示例没有任何相似之处。 - Ben Robinson
@BenRobinson,我不明白你的意思。你能否请再解释一下? - LCJ
你自从我写下这段话后修改了帖子,但我只是想指出Data Insert中的SQL与您的DisplayTest方法中的SQL完全不同。现在你用代码解释你想表达的更加清晰了一些。 - Ben Robinson
2个回答
11

将您的CustomFormat方法修改为以下内容:

private static string CustomFormat(string input)
{
    input = input.Replace(@"\", @"\\"); 
    input = input.Replace(@"%", @"\%");
    input = input.Replace(@"[", @"\[");
    input = input.Replace(@"]", @"\]");
    input = input.Replace(@"_", @"\_");
    return input;
}
你可能还应该在其中添加 input = input.Replace(@"'", @"\'"); - gunwin
input = input.Replace(@"'", @"''"); 是使用单引号进行转义的正确方式。 - Zameer Fouzan
1
转换程序中的内容为中文:毫无疑问,转义单引号是其中最重要的一个? - Ian Warburton
为什么在使用LIKE操作符时必须转义“'”字符?当然,整个值都必须作为参数command.Parameters.AddWithValue进行处理,其中应包括此转义。这种LIKE转义(CustomFormat)并不是防止SQL注入的保护! - Tom
1

C#处理LIKE的代码

     public static string WildcardFormatSpecialCharacter(string source)
    {
        string formattedResult = string.Empty;
        if (!String.IsNullOrEmpty(source))
        {
            //Escape the escape character
            formattedResult = source.Replace(DataLayerConstants.EscapeCharacter, DataLayerConstants.EscapeCharacterWithEscape);
            //The %
            formattedResult = formattedResult.Replace(DataLayerConstants.Percentage, DataLayerConstants.PercentageWithEscape);
            //The [
            formattedResult = formattedResult.Replace(DataLayerConstants.OpenSqaureBracket, DataLayerConstants.OpenSqaureBracketWithEscape);
            //The ]
            formattedResult = formattedResult.Replace(DataLayerConstants.CloseSqaureBracket, DataLayerConstants.CloseSqaureBracketWithEscape);
            //The _
            formattedResult = formattedResult.Replace(DataLayerConstants.Underscore, DataLayerConstants.UnderscoreWithEscape);
        }
        return formattedResult;
    }


    public const string EscapeCharacter = @"\";
    public const string EscapeCharacterWithEscape = @"\\";
    public const string Percentage = "%";
    public const string PercentageWithEscape = @"\%";
    public const string OpenSqaureBracket = "[";
    public const string OpenSqaureBracketWithEscape = @"\[";
    public const string CloseSqaureBracket = "]";
    public const string CloseSqaureBracketWithEscape = @"\]";
    public const string Underscore = "_";
    public const string UnderscoreWithEscape = @"\_";

其他需要检查的事项在SQL查询中使用REPLACE替换换行符/回车符

网页内容由stack overflow 提供, 点击上面的
可以查看英文原文,
原文链接