从C＃查询SQL Server数据库

Question

我想查询数据库并让它使用用户传入我的Web API上的获取请求的数据返回正确的数据。

我已经尝试使用：

SqlConnection con = new SqlConnection(conString); 
con.Open(); 

if (con.State == System.Data.ConnectionState.Open) 
{ 
    SqlCommand cmd = new SqlCommand(); 
} 

不过，我不确定我需要什么的放在命令。我只是写这样的事情：

WHERE forename, surname, caseid, postcode, telephone, email FROM TestDB.crm-data 

还是我误会了？

这是完整的代码对不起

public string Get(string forename, string surname, int? caseid, int? loanid, string postcode, string telephone, string email, string title) 
{ 
    SqlConnection con = new SqlConnection(conString); 
    con.Open(); 

    if (con.State == System.Data.ConnectionState.Open) 
    { 
     SqlCommand cmd = new SqlCommand("SELECT * FROM crm-base WHERE forename"); 
    } 
} 

Answer 1

这是不完美的，但在这里你去。您已完成其中的一部分：

using(SqlConnection con = new SqlConnection(conString)) 
{ 
    con.Open(); 

    var query=@"Select forename, surname, caseid, postcode, telephone, email 
       FROM TestDB.crm-data WHERE caseid=@caseId OR email=@email"; 

    using(SqlCommand cmd = new SqlCommand(query, con)) 
    { 
     cmd.Parameters.Add("@caseid",SqlDbType.Int).Value=1234; 
     cmd.Parameters.Add("@email", SqlDbType.VarChar, 250).Value="user@example.com"; 
     var dtb=new DataTable(); 
     var da=new SqlDataAdapter(com); 
     da.Fill(dtb) 
     //NOW dtb CONTAINS RECORDS FROM YOUR QUERY 
    } 
} 

Answer 2

你可以使用原始查询，如果查询具有恒定的参数。但是，如果您传递参数的不同值（在where子句中） - 请使用SQLParameters。这些是为防止SQL注入攻击而构建的。

看看这个链接的一些例子。

http://csharp-station.com/Tutorial/AdoDotNet/Lesson06

Answer 3

您的查询不完整。您在不指定条件的情况下添加了where子句。

你需要做类似的事情;

SqlCommand cmd = new SqlCommand($"SELECT * FROM crm-base WHERE forename='{forename}'); 

这将抓取所有记录，forename等于传入get方法的记录。