带有未命名参数的C#Sql查询

Ale*_*ksa 0 c# sql asp.net

我有这样的查询:

SELECT * FROM Table1 WHERE Column1 = {0} AND Column2 = {1}
Run Code Online (Sandbox Code Playgroud)

我想执行该语句并发送包含应替换{0}和{1}的值的参数列表.包含2个元素的对象列表.

我现在只找到了带有命名参数的解决方案,但我不想要命名参数,我想按照上面指定的方式进行...

And*_*yev 5

此字符串看起来像格式字符串,String.Format与参数化查询无关.

基本上你不应该使用String.Format和其他字符串连接操作来创建SQL查询,因为它导致sql注入.

使用参数化查询SqlCommand.Parameters是更安全的方法,请考虑使用它.