那些遇到过的问题

如何在system.data.sqlite中转义字符串?

Fre*_*red 2 c# sqlite system.data.sqlite .net-4.5

我正在执行一个SQL查询(system.data.SQLite),如下所示:

var color = "red";
var command = new SQLiteCommand("SELECT something FROM tabletop WHERE color = '" + color + "'", Connection);
var reader = command.ExecuteReader();
Run Code Online (Sandbox Code Playgroud)

颜色变量是用户提供的文本.如何逃避此文本以防止SQL注入?或者这是一种不好的做法,我应该以一种完全不同的"受保护"方式执行查询?

Ala*_*ell 5

您应该使用参数化查询:

var command = new SQLiteCommand("SELECT something FROM tabletop WHERE color = @Color", Connection);
command.Parameters.AddWithValue("Color", color);
Run Code Online (Sandbox Code Playgroud)

你也可以将一个SQLiteParameters 数组传递给command.Parameters集合,如下所示:

SQLiteParameter[] parameters = { new SQLiteParameter("Color", color), new SQLiteParameter("Size", size) }; // etc.
command.Parameters.AddRange(parameters);
Run Code Online (Sandbox Code Playgroud)

归档时间:

查看次数:

2962 次

最近记录:

11 年,4 月 前
相关归档
如何从字符串中删除非ASCII字符?(在C#中) 215
用Sha256哈希一个字符串 136
从x到y的共变阵列转换可能会导致运行时异常 135
TimeSpan ToString格式 92
由于sqlite3 gem错误,Heroku部署失败 17
SQLite:如何连接到内存中的共享缓存数据库? 6
我的SQLite语法出错 5
使用Perl API使SQlite3插入更快 4
通用OrderBy方法 1
检查表是否存在以及它是否不存在,创建它... iOS/SQLite 0
难疑归档
grep一个文件,但显示几个周围的行? 3277
如何测试私有函数或具有私有方法,字段或内部类的类? 2593
自制安装特定版本的公式? 2072
HTML中id属性的有效值是什么? 1945
什么是JavaBean? 1677
用PHP将HTML + CSS转换为PDF? 1585
你如何在YAML中阻止评论? 1272
在Android Studio中重命名包 1252
jQuery document.createElement等价? 1226
如何在滚动后检查元素是否可见? 1115