我正在执行一个 SQL 查询 (system.data.SQLite),如下所示:
var color = "red";
var command = new SQLiteCommand("SELECT something FROM tabletop WHERE color = '" + color + "'", Connection);
var reader = command.ExecuteReader();
颜色变量是用户提供的文本。 如何转义此文本以防止 SQL 注入(inject)? 或者这是一种不好的做法,我应该以某种完全不同的“ protected ”方式执行查询?
最佳答案
您应该使用参数化查询:
var command = new SQLiteCommand("SELECT something FROM tabletop WHERE color = @Color", Connection);
command.Parameters.AddWithValue("Color", color);
您还可以将一组 SQLiteParameter 传递到 command.Parameters 集合中,如下所示:
SQLiteParameter[] parameters = { new SQLiteParameter("Color", color), new SQLiteParameter("Size", size) }; // etc.
command.Parameters.AddRange(parameters);
关于c# - 如何转义 system.data.sqlite 中的字符串?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/25261317/