mogę uzyskać wynik spodziewam wpisując to w LINQPad:Jak mogę użyć podobnego operatora z parametrem w zapytaniu SQLite?
SELECT * FROM WorkTable WHERE WTName LIKE "DSD__20090410014953000%"
(to pokazuje mi rekord, który ma wartość WTName z DSD__20090410014953000.xml ")
Ale starając się zrobić to programowo jest . dowodząc, próbując próbowałem:
const string qry = "SELECT SiteNum FROM WorkTable WHERE WTName LIKE @wtName%";
using (SQLiteConnection con = new SQLiteConnection(HHSUtils.GetDBConnection()))
{
con.Open();
SQLiteCommand cmd = new SQLiteCommand(qry, con);
cmd.Parameters.Add(new SQLiteParameter("wtName", tableName));
siteNum = Convert.ToInt32(cmd.ExecuteScalar());
}
... ale to powoduje, że aplikacja do katastrofy, a mój plik log mówi mi dlaczego:
Message: From application-wide exception handler: System.Data.SQLite.SQLiteException: SQL logic error or missing database
near "%": syntax error
Więc może uważa, że parametr zapytania ma nazwę "wtName%" zamiast "wtName"; ale oddzielenie parametru i "cokolwiek" opertora ("%") od spacji też nie działa.
mogę iść retro/kludgy tylko przez osadzanie parametr kwerendy w ciąg tak:
const string qry = String.Format("SELECT SiteNum FROM WorkTable WHERE WTName LIKE {0}%", tableName);
... i robi bez parametru zapytania w ogóle, ale obawiam się, że gdybym to zrobił Troy Hunt pojawiłby się w moim domu i cepnąłby mnie poręczą, jednocześnie balansując na temat SQL Injection.
Jak mogę uzyskać dane i jednocześnie napisać bezpieczny kod?
Ale pan spróbować? Nie mogę pracować. – Steve
Nie próbowałem na SQLite, ale na pewno działa na SQL Server. Skopiowałem go z istniejącego projektu. – Dragan
Operator konkatenacji łańcuchów w SQLite to || więc powinieneś napisać '@wtName || '%' 'Nadal uważam, że jest to zbyt podatne na błędy i nie jest przenośne – Steve