c# - 在 C# 中使用 sqlite 进行 SQL 转义

标签 c# sqlite escaping

我有一个文本字段,它破坏了我的 sql 语句。我如何转义该字段中的所有字符?我将 sqlite 与 http://sqlite.phxsoftware.com/ 一起使用在 C# 中

最佳答案

您应该使用如下参数:

SQLiteCommand cmd = _connection.CreateCommand();
cmd.CommandType = CommandType.Text;
cmd.CommandText = "SELECT * FROM MyTable WHERE MyColumn = @parameter";
cmd.Parameters.Add( new SQLiteParameter( "@parameter", textfield ) );
SQLiteDataReader reader = cmd.ExecuteReader();

使用参数化 SQL 将转义所有输入值并帮助保护您免受 SQL 注入(inject)攻击。

关于c# - 在 C# 中使用 sqlite 进行 SQL 转义,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/633245/

上一篇:sqlite - 如何从 SQLite 数据库导入?

下一篇:java - 从 Java 使用 sqlite 获取最后插入的 id 的最佳方法是什么?

相关文章:

c# - 鼠标悬停按钮时无法更改边框颜色

c# - 如何使用 ServiceStack OrmLite 从 SQLite 读取 PRAGMA?

SQL 查询慢?应该吗?

java - c 内的双引号 :set (JSTL)

c# - 如何解决 'Only Parameterless constructors and initializers...' 错误

c# - MongoDB .NET 驱动程序 2.0 中的 FindAll

c++ - 一个关于 C++ 中的 iostream cout 的问题

php - 挑战 - 安全而准确地逃离此文本

c# - 为什么我们使用 Response.ClearHeaders()?

ios - 在 objective-c 中更改 SQLite 中的表名

©2024 IT工具网  联系我们