如何使用用户输入和通配符编写 SQL 查询

Question

通常我将 where 语句写为 WHERE key=@0 然后添加一个参数。现在我希望用户指定一些字母，例如“oat”，并希望在其周围添加与“coating”匹配的通配符%oat%。那么我该如何编写查询，以便在用户输入（“搜索词”）周围使用通配符。

现在让我们更进一步。我不希望用户写%，这样他就不能做blah%ing。也许 % 是句子的一部分（或者它可能完全是非法的，但我更喜欢它是句子的一部分）。如何在单词或句子周围放置通配符并禁止用户在单词之间放置通配符？ （最好将%作为句子的一部分）

C# ado.net sql/sqlite

Answer 1

如果您使用 准备好的语句（即 SQLiteCommand，DbCommand），我们将为您处理。例如：

using (SqlCommand myCommand = new SQLiteCommand("SELECT * FROM TABLE WHERE (COLUMN LIKE = '%' + @input + '%')"))
{
        myCommand.Parameters.AddWithValue("@input", input);
        // ...
}

另请参阅类似的上一个问题。

Answer 2

RE：如何在单词或句子周围放置通配符，并禁止用户在单词之间放置通配符？ （最好使 % 成为句子的一部分）

我认为您需要将用户提供的任何 % 替换为 \% 并使用

LIKE @Expression ESCAPE '\'

Answer 3

继续使用参数，但在绑定之前在参数中添加通配符。

C#:

  param = '%' + Regex.Replace(param, @"[%?]", String.Empty) + '%'

SQL:

select * from ... where key like :param