C# 的 字符串插值($) 和 逐字字符串(@) 功能

爱吃巧克力的程序媛2025-04-22 21:15

这段代码使用了 C# 的 字符串插值($逐字字符串(@ 功能,并在 SQL 语句中动态拼接变量。下面详细解释它们的用法:

1. $(字符串插值)

$ 是 C# 的 字符串插值 符号,允许在字符串中直接嵌入表达式(用 {} 包裹),例如:

csharp 复制代码 
string name = "Alice";
string message = $"Hello, {name}!"; // 输出:Hello, Alice!

在 SQL 语句中,$ 用于动态插入变量值,如 {level}{GetNextSortOrder(parentId)} 等。

2. @(逐字字符串)

@ 是 C# 的 逐字字符串 符号,它会:

  • 忽略转义字符(如 \n\t 等)
  • 允许字符串跨多行(适合 SQL 语句)
  • 保留所有空格和换行

例如:

csharp 复制代码 
string sql = @"
    SELECT *
    FROM Users
    WHERE Id = 1";

如果不加 @,换行符需要用 \n 表示,而加了 @ 后可以直接换行。

3. $@(同时使用)

$@ 结合了两种功能:

  • @ 允许 SQL 语句跨多行
  • $ 允许在字符串中插入变量

所以:

csharp 复制代码 
string strsql = $@"
    INSERT INTO System 
    (PID, Level, SortOrder, Name, remark, CreatedTime, ModifiedTime)
    VALUES (...)
";

这样既保持了 SQL 语句的可读性,又能动态插入变量。

4. {(level == 3 ? $"'{editForm.Target.Replace("'", "''")}'" : "NULL")} 解释

这段代码是一个 嵌套的三元运算符 + 字符串插值 ,用于动态生成 SQL 语句中的 remark 字段值:

  • level == 3 :检查当前节点是否是第 3 级(可能是菜单项)
    • 如果是,则:
      • editForm.remark.Replace("'", "''") :对 remark 字符串进行 SQL 转义(单引号 ' 替换成 '',防止 SQL 注入)
      • $"'{...}'" :用单引号包裹(因为 SQL 字符串需要用 ' 括起来)
    • 如果不是(level != 3),则直接插入 NULL(SQL 的 NULL 值,不加引号)

示例

假设:

  • level = 3
  • editForm.remark= "admin/home"

则生成的 SQL 部分:

sql 复制代码 
remark= 'admin/home'

如果 level = 2,则:

sql 复制代码 
remark= NULL

5. 完整 SQL 拼接示例

假设:

  • parentId = 1
  • level = 3
  • editForm.NodeName = "Admin Page"
  • editForm.remark = "admin/home"

生成的 SQL 语句:

sql 复制代码 
INSERT INTO System
(PID, Level, SortOrder, Name, remark, CreatedTime, ModifiedTime)
VALUES (
    1,
    3,
    1,  -- 假设 GetNextSortOrder(parentId) 返回 1
    'Admin Page',
    'admin/home',
    GETDATE(),
    GETDATE()
)

6. 安全性注意事项

虽然这种拼接方式方便,但存在 SQL 注入风险 (如果 NodeNameTarget 等来自用户输入)。更安全的方式是使用 参数化查询 (如 SqlCommand.Parameters):

csharp 复制代码 
using (var cmd = new SqlCommand(
    @"INSERT INTO System 
       (PID, Level, SortOrder, Name, remark, CreatedTime, ModifiedTime)
       VALUES (@PID, @Level, @SortOrder, @Name, @remark, GETDATE(), GETDATE())", 
    connection))
{
    cmd.Parameters.AddWithValue("@PID", parentId ?? (object)DBNull.Value);
    cmd.Parameters.AddWithValue("@Level", level);
    cmd.Parameters.AddWithValue("@SortOrder", GetNextSortOrder(parentId));
    cmd.Parameters.AddWithValue("@Name", editForm.NodeName);
    cmd.Parameters.AddWithValue("@remark", level == 3 ? editForm.Target : (object)DBNull.Value);
    cmd.ExecuteNonQuery();
}

这样可以有效防止 SQL 注入攻击。

相关推荐
kaikaile199515 小时前
基于C#实现一维码和二维码打印程序
开发语言·c#
我不是程序猿儿15 小时前
【C#】画图控件的FormsPlot中的Refresh功能调用消耗时间不一致缘由
开发语言·c#
rit843249915 小时前
C# Socket 聊天室(含文件传输)
服务器·开发语言·c#
白衣衬衫 两袖清风21 小时前
ABP框架+Dapper执行原生sql
sql·c#·.net
在路上看风景21 小时前
1.15 并行编程
c#
chao1898441 天前
基于C# WinForm实现的仿微信打飞机游戏
游戏·微信·c#
wearegogog1231 天前
C# 条码打印程序(一维码 + 二维码)
java·开发语言·c#
sali-tec1 天前
C# 基于halcon的视觉工作流-章69 深度学习-异常值检测
开发语言·图像处理·算法·计算机视觉·c#
我是唐青枫1 天前
深入理解 C#.NET 运算符重载:语法、设计原则与最佳实践
开发语言·c#·.net
Lv11770081 天前
Visual Studio中的字典
ide·笔记·c#·visual studio
热门推荐
01GitHub 镜像站点02UV安装并设置国内源03Linux下V2Ray安装配置指南04在VSCode配置Java开发环境的保姆级教程(适配各类AI编程IDE)05【AutoGLM部署】本地私有化部署AI手机Agent06Cursor 又偷偷更新,这个功能太实用:Visual Editor for Cursor Browser07Open-AutoGLM Windows 安装部署教程08安娜的档案(Anna’s Archive) 镜像网站/国内最新可访问入口(持续更新)09Neo4j(一) - Neo4j安装教程(Windows)10BongoCat - 跨平台键盘猫动画工具