C# 的 字符串插值($) 和 逐字字符串(@) 功能

爱吃巧克力的程序媛2025-04-22 21:15

这段代码使用了 C# 的 字符串插值($逐字字符串(@ 功能,并在 SQL 语句中动态拼接变量。下面详细解释它们的用法:

1. $(字符串插值)

$ 是 C# 的 字符串插值 符号,允许在字符串中直接嵌入表达式(用 {} 包裹),例如:

csharp 复制代码 
string name = "Alice";
string message = $"Hello, {name}!"; // 输出:Hello, Alice!

在 SQL 语句中,$ 用于动态插入变量值,如 {level}{GetNextSortOrder(parentId)} 等。

2. @(逐字字符串)

@ 是 C# 的 逐字字符串 符号,它会:

  • 忽略转义字符(如 \n\t 等)
  • 允许字符串跨多行(适合 SQL 语句)
  • 保留所有空格和换行

例如:

csharp 复制代码 
string sql = @"
    SELECT *
    FROM Users
    WHERE Id = 1";

如果不加 @,换行符需要用 \n 表示,而加了 @ 后可以直接换行。

3. $@(同时使用)

$@ 结合了两种功能:

  • @ 允许 SQL 语句跨多行
  • $ 允许在字符串中插入变量

所以:

csharp 复制代码 
string strsql = $@"
    INSERT INTO System 
    (PID, Level, SortOrder, Name, remark, CreatedTime, ModifiedTime)
    VALUES (...)
";

这样既保持了 SQL 语句的可读性,又能动态插入变量。

4. {(level == 3 ? $"'{editForm.Target.Replace("'", "''")}'" : "NULL")} 解释

这段代码是一个 嵌套的三元运算符 + 字符串插值 ,用于动态生成 SQL 语句中的 remark 字段值:

  • level == 3 :检查当前节点是否是第 3 级(可能是菜单项)
    • 如果是,则:
      • editForm.remark.Replace("'", "''") :对 remark 字符串进行 SQL 转义(单引号 ' 替换成 '',防止 SQL 注入)
      • $"'{...}'" :用单引号包裹(因为 SQL 字符串需要用 ' 括起来)
    • 如果不是(level != 3),则直接插入 NULL(SQL 的 NULL 值,不加引号)

示例

假设:

  • level = 3
  • editForm.remark= "admin/home"

则生成的 SQL 部分:

sql 复制代码 
remark= 'admin/home'

如果 level = 2,则:

sql 复制代码 
remark= NULL

5. 完整 SQL 拼接示例

假设:

  • parentId = 1
  • level = 3
  • editForm.NodeName = "Admin Page"
  • editForm.remark = "admin/home"

生成的 SQL 语句:

sql 复制代码 
INSERT INTO System
(PID, Level, SortOrder, Name, remark, CreatedTime, ModifiedTime)
VALUES (
    1,
    3,
    1,  -- 假设 GetNextSortOrder(parentId) 返回 1
    'Admin Page',
    'admin/home',
    GETDATE(),
    GETDATE()
)

6. 安全性注意事项

虽然这种拼接方式方便,但存在 SQL 注入风险 (如果 NodeNameTarget 等来自用户输入)。更安全的方式是使用 参数化查询 (如 SqlCommand.Parameters):

csharp 复制代码 
using (var cmd = new SqlCommand(
    @"INSERT INTO System 
       (PID, Level, SortOrder, Name, remark, CreatedTime, ModifiedTime)
       VALUES (@PID, @Level, @SortOrder, @Name, @remark, GETDATE(), GETDATE())", 
    connection))
{
    cmd.Parameters.AddWithValue("@PID", parentId ?? (object)DBNull.Value);
    cmd.Parameters.AddWithValue("@Level", level);
    cmd.Parameters.AddWithValue("@SortOrder", GetNextSortOrder(parentId));
    cmd.Parameters.AddWithValue("@Name", editForm.NodeName);
    cmd.Parameters.AddWithValue("@remark", level == 3 ? editForm.Target : (object)DBNull.Value);
    cmd.ExecuteNonQuery();
}

这样可以有效防止 SQL 注入攻击。

相关推荐
开开心心_Every3 小时前
全能视频处理工具介绍说明
开发语言·人工智能·django·pdf·flask·c#·音视频
86Eric3 小时前
C# 入门学习教程(二)
c#·操作符·语句
simonkimi5 小时前
解决无法在Cursor中使用C# Dev Kit的问题
c#·cursor
枯萎穿心攻击11 小时前
ECS由浅入深第三节:进阶?System 的行为与复杂交互模式
开发语言·unity·c#·游戏引擎
小码编匠11 小时前
WPF 自定义TextBox带水印控件,可设置圆角
后端·c#·.net
水果里面有苹果11 小时前
17-C#的socket通信TCP-1
开发语言·tcp/ip·c#
阿蒙Amon19 小时前
C# Linq to SQL:数据库编程的解决方案
数据库·c#·linq
iCxhust1 天前
c# U盘映像生成工具
开发语言·单片机·c#
emplace_back1 天前
C# 集合表达式和展开运算符 (..) 详解
开发语言·windows·c#
热门推荐
01KGG转MP3工具|非KGM文件|解密音频02集群聊天服务器---MySQL数据库的建立03Coze扣子平台完整体验和实践(附国内和国际版对比)04基于odoo17的设计模式详解---单例模式05Java学习第十五部分——MyBatis06扣子(coze)实战|我用扣子搭建了一个自动分析小红薯笔记内容的AI应用|详细步骤拆解07《深入设计模式》模式结构汇总08使用Ruby接入实时行情API教程09DeepSeek各版本说明与优缺点分析10RAL-2025 | 触觉助力无人机空中探索!基于柔顺机器人手指的无人机触觉导航