那些遇到过的问题

创建字符串表达式时出现意外标记?

Ala*_*an2 0 .net c# sql ado.net

我有以下代码:

public void UpdateCardSetColumn(CARD cardColumn, bool value, string cardId)
{
    string strValue = value ? "1" : "0";

    sql = $"UPDATE Card SET {cardColumn.Text()} = {strValue}? WHERE CardGuid = '{?cardId}?'";

    RunExecute(db2, sql);
}
Run Code Online (Sandbox Code Playgroud)

这里有一个错误 '{cardId

它告诉我

无效的表达术语“

Sal*_*ari 5

您需要注意避免这种字符串连接并且它容易受到 SQL 注入攻击,您应该始终使用参数化查询来避免SQL 注入并消除错误,例如:

sql = "UPDATE Card SET cardColumn = @strValue? WHERE CardGuid = @?cardId";
yourSqlCommand.Parameters.AddWithValue("@strValue? ", cardColumn.Text);
yourSqlCommand.Parameters.AddWithValue("@?cardId", ?cardId);
Run Code Online (Sandbox Code Playgroud)

虽然直接指定类型并使用Value属性比AddWithValue

yourSqlCommand.Parameters.Add("@?cardId", SqlDbType.VarChar).Value = ?cardId;
Run Code Online (Sandbox Code Playgroud)

在此处阅读更多信息:https : //blogs.msmvps.com/jcoehoorn/blog/2014/05/12/can-we-stop-using-addwithvalue-already/

归档时间:

查看次数:

111 次

最近记录:

5 年 前
相关归档
如何按位置替换部分字符串? 143
从DateTime获取时区 97
为什么Math.Ceiling返回double? 41
扩展LINQ以接受可以为空的枚举 40
我们应该如何使用异步等待? 40
ORA-00942:表或视图不存在(当单独的sql工作,但在oracle函数内不起作用) 24
我错过了LINQ的一些内容吗? 20
在postgresql中将varchar列升级为枚举类型 18
MySQL按两列排序 12
将对象列表传递给 SQL Server 存储过程并检索输出值 6
难疑归档
什么是正确的JSON内容类型? 9962
可以(a == 1 && a == 2 && a == 3)评估为真吗? 2438
为什么在单独的循环中元素添加比在组合循环中快得多? 2175
Dockerfile中的`COPY`和`ADD`命令有什么区别? 1991
在Bash中提取文件名和扩展名 1969
从JSON文件中解析值? 1400
如何设置HTML <select>元素的默认值? 1343
在Android Studio中重命名包 1252
如何从Python字符串中修剪空格? 1103
如何初始化静态地图? 1084