c#数据库查询两个条件查询语句

在C#中进行数据库查询时，如果需要根据两个条件来筛选数据，可以使用多种方式来实现，以下是一些常见的方法：

1、使用参数化查询：这是最常见和推荐的方法，可以有效防止SQL注入攻击，以下是一个示例代码，假设我们有一个名为Users的表，包含UserID、UserName和Age等列，我们要查询年龄大于20且用户名以字母"A"开头的用户：

using System;
using System.Data.SqlClient;
class Program
{
    static void Main()
    {
        string connectionString = "your_connection_string_here";
        string query = "SELECT * FROM Users WHERE Age > @age AND UserName LIKE @userNamePattern";
        using (SqlConnection connection = new SqlConnection(connectionString))
        {
            SqlCommand command = new SqlCommand(query, connection);
            command.Parameters.AddWithValue("@age", 20);
            command.Parameters.AddWithValue("@userNamePattern", "A%");
            try
            {
                connection.Open();
                SqlDataReader reader = command.ExecuteReader();
                while (reader.Read())
                {
                    Console.WriteLine("UserID: {0}, UserName: {1}, Age: {2}", 
                        reader["UserID"], reader["UserName"], reader["Age"]);
                }
            }
            catch (Exception ex)
            {
                Console.WriteLine("Error: " + ex.Message);
            }
        }
    }
}

在上述代码中，我们首先定义了连接字符串和查询语句，其中查询语句中使用了参数占位符@age和@userNamePattern，然后创建SqlCommand对象，并通过Parameters.AddWithValue方法为参数赋值，最后打开连接并执行查询，读取结果并输出。

2、使用存储过程：可以先在数据库中创建一个存储过程，然后在C#代码中调用该存储过程并传递参数。

创建存储过程：

CREATE PROCEDURE GetUsersByConditions
    @Age INT,
    @UserNamePattern NVARCHAR(50)
AS
BEGIN
    SELECT * FROM Users WHERE Age > @Age AND UserName LIKE @UserNamePattern
END

**在C#中调用存储过程**：

using System;
using System.Data.SqlClient;
class Program
{
    static void Main()
    {
        string connectionString = "your_connection_string_here";
        string procedureName = "GetUsersByConditions";
        using (SqlConnection connection = new SqlConnection(connectionString))
        {
            SqlCommand command = new SqlCommand(procedureName, connection);
            command.CommandType = CommandType.StoredProcedure;
            command.Parameters.AddWithValue("@Age", 20);
            command.Parameters.AddWithValue("@UserNamePattern", "A%");
            try
            {
                connection.Open();
                SqlDataReader reader = command.ExecuteReader();
                while (reader.Read())
                {
                    Console.WriteLine("UserID: {0}, UserName: {1}, Age: {2}", 
                        reader["UserID"], reader["UserName"], reader["Age"]);
                }
            }
            catch (Exception ex)
            {
                Console.WriteLine("Error: " + ex.Message);
            }
        }
    }
}

这种方式将查询逻辑封装在存储过程中，提高了代码的可维护性和可重用性，同时也能更好地利用数据库的优化机制。

3、使用LINQ to SQL或Entity Framework：如果使用的是这些ORM框架，可以通过编写LINQ查询来实现多条件查询，以Entity Framework为例：

using System;
using System.Linq;
using System.Data.Entity;
class Program
{
    static void Main()
    {
        using (var context = new YourDbContext())
        {
            var users = context.Users
                .Where(u => u.Age > 20 && u.UserName.StartsWith("A"))
                .ToList();
            foreach (var user in users)
            {
                Console.WriteLine("UserID: {0}, UserName: {1}, Age: {2}", 
                    user.UserID, user.UserName, user.Age);
            }
        }
    }
}

在上述代码中，首先获取YourDbContext的实例，然后通过Where方法指定查询条件，最后将结果转换为列表并遍历输出，这种方式使代码更加简洁和易于理解，并且可以利用LINQ的强大功能进行更复杂的查询操作。

以下是两个相关问答FAQs：

1、问：在使用参数化查询时，如果参数的值是从用户输入获取的，是否需要进行额外的验证？

答：是的，即使使用了参数化查询来防止SQL注入，仍然需要对用户输入进行验证，因为反面用户可能会输入不符合预期格式的数据，导致程序出现错误或其他安全问题，可以检查输入是否为数字、是否在合理的范围内等。

2、问：存储过程和直接在C#代码中写SQL查询相比，有什么优势？

答：存储过程具有以下优势：一是性能更好，因为存储过程在数据库中预先编译，执行速度更快；二是安全性更高，可以减少SQL注入的风险；三是可维护性更强，当查询逻辑需要修改时，只需修改存储过程，而不需要修改C#代码；四是可以实现更复杂的业务逻辑，存储过程可以包含多个SQL语句和控制流结构。

小编有话说：在进行C#数据库查询时，选择合适的查询方式非常重要，参数化查询是最基本和安全的方法，适用于大多数情况；存储过程可以提高性能和安全性，适合复杂的查询逻辑；而使用ORM框架则可以使代码更加简洁和易于维护，适合快速开发和大型项目，根据具体的需求和场景选择最适合的方式，可以提高开发效率和应用程序的质量。