解读SQL Server问号（sqlserver问号）

匹配

SQL Server问号匹配又称为参数化查询（parameterized queries）,即在SQL语句中使用“？”来代替具体内容，比如变量和表达式。有时，一些类似于“SELECT * FROM book WHERE Title LIKE ‘%?%’”这样的语句需要用户使用问号（？）来表示填入的变量，而并不是直接写入变量值。

问号匹配可用于查询操作，也可应用在更新、插入和删除等操作上。下面我们介绍下这种技术的一些应用场景：

1. 无论是改变表结构，还是添加数据，使用问号匹配是最安全的。比如：

UPDATE Employees SET Salary = ? WHERE Name = ‘Mary’;

2. 问号匹配的主要优势在改变查询参数的时候。它可以根据不同的场景改变参数，如：

SELECT * FROM Products WHERE Price > ?;

以上SQL语句仅仅改变?的值就可以查找不同门槛内的产品，来使用不同的查询条件，比如：

SELECT * FROM Products WHERE Price > 100; // Price > 100

SELECT * FROM Products WHERE Price > 500; // Price > 500

3. 在使用存储过程和视图的时候，问号也可以很好的帮助实现参数化查询，这是实现一些复杂查询的很好手段，例如：

CREATE PROCEDURE SearchCustomers

@CustomerName VARCHAR(100)

AS

BEGIN

SELECT * FROM Customers

WHERE CustomerName LIKE ‘%’ + @CustomerName + ‘%’

END

4. 问号也可以在程序中很方便的实现代码的复用，例如：

string cityName = “Shanghai”;

SqlCommand cmd = new SqlCommand(“SELECT * FROM Customers WHERE City = ?”);

cmd.Parameters.AddWithValue(“cityName”, cityName);

总结：SQL Server问号匹配是SQL语句中使用“？”来代替具体内容，来实现参数化查询，可以保护数据库不受SQL注入攻击，有效防止SQL语句中的参数被非法修改，减少不必要的访问量，提高访问速度。