C# 的 字符串插值($) 和 逐字字符串(@) 功能

这段代码使用了 C# 的 字符串插值($逐字字符串(@ 功能,并在 SQL 语句中动态拼接变量。下面详细解释它们的用法:


1. $(字符串插值)

$ 是 C# 的 字符串插值 符号,允许在字符串中直接嵌入表达式(用 {} 包裹),例如:

csharp 复制代码
string name = "Alice";
string message = $"Hello, {name}!"; // 输出:Hello, Alice!

在 SQL 语句中,$ 用于动态插入变量值,如 {level}{GetNextSortOrder(parentId)} 等。


2. @(逐字字符串)

@ 是 C# 的 逐字字符串 符号,它会:

  • 忽略转义字符(如 \n\t 等)
  • 允许字符串跨多行(适合 SQL 语句)
  • 保留所有空格和换行

例如:

csharp 复制代码
string sql = @"
    SELECT *
    FROM Users
    WHERE Id = 1";

如果不加 @,换行符需要用 \n 表示,而加了 @ 后可以直接换行。


3. $@(同时使用)

$@ 结合了两种功能:

  • @ 允许 SQL 语句跨多行
  • $ 允许在字符串中插入变量

所以:

csharp 复制代码
string strsql = $@"
    INSERT INTO System 
    (PID, Level, SortOrder, Name, remark, CreatedTime, ModifiedTime)
    VALUES (...)
";

这样既保持了 SQL 语句的可读性,又能动态插入变量。


4. {(level == 3 ? $"'{editForm.Target.Replace("'", "''")}'" : "NULL")} 解释

这段代码是一个 嵌套的三元运算符 + 字符串插值 ,用于动态生成 SQL 语句中的 remark 字段值:

  • level == 3 :检查当前节点是否是第 3 级(可能是菜单项)
    • 如果是,则:
      • editForm.remark.Replace("'", "''") :对 remark 字符串进行 SQL 转义(单引号 ' 替换成 '',防止 SQL 注入)
      • $"'{...}'" :用单引号包裹(因为 SQL 字符串需要用 ' 括起来)
    • 如果不是(level != 3),则直接插入 NULL(SQL 的 NULL 值,不加引号)

示例

假设:

  • level = 3
  • editForm.remark= "admin/home"

则生成的 SQL 部分:

sql 复制代码
remark= 'admin/home'

如果 level = 2,则:

sql 复制代码
remark= NULL

5. 完整 SQL 拼接示例

假设:

  • parentId = 1
  • level = 3
  • editForm.NodeName = "Admin Page"
  • editForm.remark = "admin/home"

生成的 SQL 语句:

sql 复制代码
INSERT INTO System
(PID, Level, SortOrder, Name, remark, CreatedTime, ModifiedTime)
VALUES (
    1,
    3,
    1,  -- 假设 GetNextSortOrder(parentId) 返回 1
    'Admin Page',
    'admin/home',
    GETDATE(),
    GETDATE()
)

6. 安全性注意事项

虽然这种拼接方式方便,但存在 SQL 注入风险 (如果 NodeNameTarget 等来自用户输入)。更安全的方式是使用 参数化查询 (如 SqlCommand.Parameters):

csharp 复制代码
using (var cmd = new SqlCommand(
    @"INSERT INTO System 
       (PID, Level, SortOrder, Name, remark, CreatedTime, ModifiedTime)
       VALUES (@PID, @Level, @SortOrder, @Name, @remark, GETDATE(), GETDATE())", 
    connection))
{
    cmd.Parameters.AddWithValue("@PID", parentId ?? (object)DBNull.Value);
    cmd.Parameters.AddWithValue("@Level", level);
    cmd.Parameters.AddWithValue("@SortOrder", GetNextSortOrder(parentId));
    cmd.Parameters.AddWithValue("@Name", editForm.NodeName);
    cmd.Parameters.AddWithValue("@remark", level == 3 ? editForm.Target : (object)DBNull.Value);
    cmd.ExecuteNonQuery();
}

这样可以有效防止 SQL 注入攻击。

相关推荐
hez20101 天前
在 .NET 上构建超大托管数组
c#·.net·.net core·gc·clr
雨落倾城夏未凉6 天前
第四章c#方法-参数数组和可选参数(16)
后端·c#
唐青枫7 天前
线程不是越多越快:C#.NET Thread 生命周期、同步与后台工作线程实战
c#·.net
唐青枫8 天前
别只会反射:C#.NET Emit 动态生成代码实战详解
c#·.net
咕白m6258 天前
.NET 环境下 Word 超链接批量提取方案
c#·.net
用户91721561902118 天前
C# 通信协议增量解析:用状态机处理半包和粘包
c#
小码编匠9 天前
C# 工控上位机必备:数据转换工具类与十个核心模块
后端·c#·.net
唐青枫11 天前
别再乱用 StartNew:C#.NET TaskFactory 任务调度实战详解
c#·.net
Artech12 天前
[MAF预定义的AIContextProvider-03]ChatHistoryMemoryProvider——赋予Agent从经验中学习的能力
ai·c#·agent·memory·maf
Scout-leaf13 天前
C#摸鱼实录——IoC与DI案例详解
c#