C# 的字符串插值（$）和逐字字符串（@）功能

這段代碼使用了 C# 的 字符串插值（$） 和 逐字字符串（@） 功能，并在 SQL 語句中動態拼接變量。下面詳細解釋它們的用法：

1. `$`（字符串插值）

$ 是 C# 的 字符串插值 符號，允許在字符串中直接嵌入表達式（用 {} 包裹），例如：

string name = "Alice";
string message = $"Hello, {name}!"; // 輸出：Hello, Alice!

在 SQL 語句中，$ 用于動態插入變量值，如 {level}、{GetNextSortOrder(parentId)} 等。

2. `@`（逐字字符串）

@ 是 C# 的 逐字字符串 符號，它會：

忽略轉義字符（如 \n、\t 等）
允許字符串跨多行（適合 SQL 語句）
保留所有空格和換行

例如：

string sql = @"SELECT *FROM UsersWHERE Id = 1";

如果不加 @，換行符需要用 \n 表示，而加了 @ 后可以直接換行。

3. `$@`（同時使用）

$@ 結合了兩種功能：

@ 允許 SQL 語句跨多行
$ 允許在字符串中插入變量

所以：

string strsql = $@"INSERT INTO System (PID, Level, SortOrder, Name, remark, CreatedTime, ModifiedTime)VALUES (...)
";

這樣既保持了 SQL 語句的可讀性，又能動態插入變量。

4. `{(level == 3 ? $"'{editForm.Target.Replace("'", "''")}'" : "NULL")}` 解釋

這段代碼是一個 嵌套的三元運算符 + 字符串插值，用于動態生成 SQL 語句中的 remark 字段值：

level == 3：檢查當前節點是否是第 3 級（可能是菜單項）
- 如果是，則：
  - editForm.remark.Replace("'", "''")：對 remark 字符串進行 SQL 轉義（單引號 ' 替換成 ''，防止 SQL 注入）
  - $"'{...}'"：用單引號包裹（因為 SQL 字符串需要用 ' 括起來）
- 如果不是（level != 3），則直接插入 NULL（SQL 的 NULL 值，不加引號）

示例

假設：

level = 3
editForm.remark= "admin/home"

則生成的 SQL 部分：

remark= 'admin/home'

如果 level = 2，則：

remark= NULL

5. 完整 SQL 拼接示例

假設：

parentId = 1
level = 3
editForm.NodeName = "Admin Page"
editForm.remark = "admin/home"

生成的 SQL 語句：

INSERT INTO System
(PID, Level, SortOrder, Name, remark, CreatedTime, ModifiedTime)
VALUES (1,3,1,  -- 假設 GetNextSortOrder(parentId) 返回 1'Admin Page','admin/home',GETDATE(),GETDATE()
)

6. 安全性注意事項

雖然這種拼接方式方便，但存在 SQL 注入風險（如果 NodeName、Target 等來自用戶輸入）。更安全的方式是使用 參數化查詢（如 SqlCommand.Parameters）：

using (var cmd = new SqlCommand(@"INSERT INTO System (PID, Level, SortOrder, Name, remark, CreatedTime, ModifiedTime)VALUES (@PID, @Level, @SortOrder, @Name, @remark, GETDATE(), GETDATE())", connection))
{cmd.Parameters.AddWithValue("@PID", parentId ?? (object)DBNull.Value);cmd.Parameters.AddWithValue("@Level", level);cmd.Parameters.AddWithValue("@SortOrder", GetNextSortOrder(parentId));cmd.Parameters.AddWithValue("@Name", editForm.NodeName);cmd.Parameters.AddWithValue("@remark", level == 3 ? editForm.Target : (object)DBNull.Value);cmd.ExecuteNonQuery();
}

這樣可以有效防止 SQL 注入攻擊。

本文來自互聯網用戶投稿，該文觀點僅代表作者本人，不代表本站立場。本站僅提供信息存儲空間服務，不擁有所有權，不承擔相關法律責任。
如若轉載，請注明出處：http://www.pswp.cn/news/902392.shtml
繁體地址，請注明出處：http://hk.pswp.cn/news/902392.shtml
英文地址，請注明出處：http://en.pswp.cn/news/902392.shtml

如若內容造成侵權/違法違規/事實不符，請聯系多彩編程網進行投訴反饋email:809451989@qq.com，一經查實，立即刪除！