快捷導(dǎo)航

C#中字符串插值($) 和逐字字符串(@)的使用

更新時(shí)間：2025年11月04日 10:29:49 作者：愛吃巧克力的程序媛

這篇文章主要介紹了C#中字符串插值($) 和逐字字符串(@)的使用,文中通過(guò)示例代碼介紹的非常詳細(xì),對(duì)大家的學(xué)習(xí)或者工作具有一定的參考學(xué)習(xí)價(jià)值,需要的朋友們下面隨著小編來(lái)一起學(xué)習(xí)學(xué)習(xí)吧

1.$（字符串插值）

$ 是 C# 的 字符串插值 符號(hào)，允許在字符串中直接嵌入表達(dá)式（用 {} 包裹），例如：

string name = "Alice";
string message = $"Hello, {name}!"; // 輸出：Hello, Alice!

在 SQL 語(yǔ)句中，$ 用于動(dòng)態(tài)插入變量值，如 {level}、{GetNextSortOrder(parentId)} 等。

2.@（逐字字符串）

@ 是 C# 的 逐字字符串 符號(hào)，它會(huì)：

忽略轉(zhuǎn)義字符（如 \n、\t 等）
允許字符串跨多行（適合 SQL 語(yǔ)句）
保留所有空格和換行

例如：

string sql = @"
    SELECT *
    FROM Users
    WHERE Id = 1";

如果不加 @，換行符需要用 \n 表示，而加了 @ 后可以直接換行。

3.$@（同時(shí)使用）

$@ 結(jié)合了兩種功能：

@ 允許 SQL 語(yǔ)句跨多行
$ 允許在字符串中插入變量

所以：

string strsql = $@"
    INSERT INTO System 
    (PID, Level, SortOrder, Name, remark, CreatedTime, ModifiedTime)
    VALUES (...)
";

這樣既保持了 SQL 語(yǔ)句的可讀性，又能動(dòng)態(tài)插入變量。

4.{(level == 3 ? $"'{editForm.Target.Replace("'", "''")}'" : "NULL")}解釋

這段代碼是一個(gè) 嵌套的三元運(yùn)算符 + 字符串插值，用于動(dòng)態(tài)生成 SQL 語(yǔ)句中的 remark 字段值：

level == 3：檢查當(dāng)前節(jié)點(diǎn)是否是第 3 級(jí)（可能是菜單項(xiàng)）
- 如果是，則：
  - editForm.remark.Replace("'", "''")：對(duì) remark 字符串進(jìn)行 SQL 轉(zhuǎn)義（單引號(hào) ' 替換成 ''，防止 SQL 注入）
  - $"'{...}'"：用單引號(hào)包裹（因?yàn)?SQL 字符串需要用 ' 括起來(lái)）
- 如果不是（level != 3），則直接插入 NULL（SQL 的 NULL 值，不加引號(hào)）

示例

假設(shè)：

level = 3
editForm.remark= "admin/home"

則生成的 SQL 部分：

remark= 'admin/home'

如果 level = 2，則：

remark= NULL

5. 完整 SQL 拼接示例

假設(shè)：

parentId = 1
level = 3
editForm.NodeName = "Admin Page"
editForm.remark = "admin/home"

生成的 SQL 語(yǔ)句：

INSERT INTO System
(PID, Level, SortOrder, Name, remark, CreatedTime, ModifiedTime)
VALUES (
    1,
    3,
    1,  -- 假設(shè) GetNextSortOrder(parentId) 返回 1
    'Admin Page',
    'admin/home',
    GETDATE(),
    GETDATE()
)

6. 安全性注意事項(xiàng)

雖然這種拼接方式方便，但存在 SQL 注入風(fēng)險(xiǎn)（如果 NodeName、Target 等來(lái)自用戶輸入）。更安全的方式是使用 參數(shù)化查詢（如 SqlCommand.Parameters）：

using (var cmd = new SqlCommand(
    @"INSERT INTO System 
       (PID, Level, SortOrder, Name, remark, CreatedTime, ModifiedTime)
       VALUES (@PID, @Level, @SortOrder, @Name, @remark, GETDATE(), GETDATE())", 
    connection))
{
    cmd.Parameters.AddWithValue("@PID", parentId ?? (object)DBNull.Value);
    cmd.Parameters.AddWithValue("@Level", level);
    cmd.Parameters.AddWithValue("@SortOrder", GetNextSortOrder(parentId));
    cmd.Parameters.AddWithValue("@Name", editForm.NodeName);
    cmd.Parameters.AddWithValue("@remark", level == 3 ? editForm.Target : (object)DBNull.Value);
    cmd.ExecuteNonQuery();
}

這樣可以有效防止 SQL 注入攻擊。

到此這篇關(guān)于C#中字符串插值($) 和逐字字符串(@)的使用的文章就介紹到這了,更多相關(guān)C# 字符串插值和逐字字符串內(nèi)容請(qǐng)搜索腳本之家以前的文章或繼續(xù)瀏覽下面的相關(guān)文章希望大家以后多多支持腳本之家！

您可能感興趣的文章: