我有一个文本字段,它破坏了我的 sql 语句。我如何转义该字段中的所有字符?我将 sqlite 与 http://sqlite.phxsoftware.com/ 一起使用在 C# 中
最佳答案
您应该使用如下参数:
SQLiteCommand cmd = _connection.CreateCommand();
cmd.CommandType = CommandType.Text;
cmd.CommandText = "SELECT * FROM MyTable WHERE MyColumn = @parameter";
cmd.Parameters.Add( new SQLiteParameter( "@parameter", textfield ) );
SQLiteDataReader reader = cmd.ExecuteReader();
使用参数化 SQL 将转义所有输入值并帮助保护您免受 SQL 注入(inject)攻击。
关于c# - 在 C# 中使用 sqlite 进行 SQL 转义,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/633245/