我有这样的查询:
SELECT * FROM Table1 WHERE Column1 = {0} AND Column2 = {1}
Run Code Online (Sandbox Code Playgroud)
我想执行该语句并发送包含应替换{0}和{1}的值的参数列表.包含2个元素的对象列表.
我现在只找到了带有命名参数的解决方案,但我不想要命名参数,我想按照上面指定的方式进行...
此字符串看起来像格式字符串,String.Format与参数化查询无关.
基本上你不应该使用String.Format和其他字符串连接操作来创建SQL查询,因为它导致sql注入.
使用参数化查询SqlCommand.Parameters是更安全的方法,请考虑使用它.
| 归档时间: |
|
| 查看次数: |
281 次 |
| 最近记录: |