C# SqlSugar 如何使用Sql语句进行查询，并带参数进行查询，防注入

一般ORM查询单表数据已经是很简单的一种方式了

详情可以看我的另一篇文章：ORM C# 封装SqlSugar 操作数据库_sqlsugar 基类封装-CSDN博客

下面是介绍有些数据是需要比较负责的SQL语句来进行查询的时候，则需要自行组装SQL语句来进行查询，下面介绍的是 组装SQL查询语句并获取数据的一个示例。

用参数化查询是为了防SQL注入，一般是不建议直接用字符串的方式拼接字符串的。

下面代码已经有注释了，都能看懂，希望能帮助到大家。

            //查询语句组装
            StringBuilder sqlStr=new StringBuilder();
            //参数列表
            List<SugarParameter> parameters = new List<SugarParameter>();

            //主表查询
            sqlStr.Append("SELECT *  FROM t_material ");

            //拼装Where条件
            string where = string.Empty;
            if(!string.IsNullOrEmpty(mCode))
            {
                //如果编号不为空，则添加条件
                where += " MaterialCode=@mCode AND";
                //参数列表也同时添加
                parameters.Add(new SugarParameter("@mCode",mCode));
            }
            if (!string.IsNullOrEmpty(mName))
            {
                //名称进行模糊查询
                where += " MaterialName LIKE @mName AND";
                //参数中添加%
                parameters.Add(new SugarParameter("@mName", $"%{mName}%"));
            }
            if(notShowZero)
            {
                //此处是判断其他表的一些限制条件  判断库存数量大于0
                where += " MaterialCode IN (SELECT MaterialCode FROM t_materialstock WHERE StockNum>0) AND";
            }

            if(!string.IsNullOrEmpty(where))
            {
                //如果Where条件不为空，则添加WHERE 
                sqlStr.Append(" WHERE ");
                //删除最后的AND字符
                where = where.TrimEnd(new char[] { 'A', 'N', 'D' });
                sqlStr.Append(where);
            }

            //添加SQL语句
            var sql= base.DB.SqlQueryable<t_material>(sqlStr.ToString());
            //添加参数
            sql.AddParameters(parameters);
            //最后一个分页查询
            return sql.ToPageList(page,pageSize,ref total);

原文地址：https://blog.csdn.net/rotion135/article/details/140355574

免责声明：本站文章内容转载自网络资源，如本站内容侵犯了原著者的合法权益，可联系本站删除。更多内容请关注自学内容网（zxcms.com）！