谁能告诉我在为子句有条件的SQLite地方构建查询时防止sql注入的方法?WHERE"myval IN (string_1, ... , string_n)"
我想动态构建带有注释的命令文本并从字符串列表中添加这些注释的参数。有没有更简单的方法 ?
谢谢。
问问题
1152 次
1 回答
5
不,没有更简单的方法。不要列出危险人物的清单。只需使用带参数的命令。
using (var conn = new SQLiteconnection(connectionString))
using (var command = conn.CreateCommand())
{
conn.Open();
command.CommandText = "select name from persons where id = @id";
command.Parameters.AddWithValue("@id", 5);
using (var reader = command.ExecuteReader())
{
while (reader.Read())
{
}
}
}
于 2010-01-22T10:25:27.810 回答