sql server -参数化sql查询c#

本文关键字:sql 查询 参数 server | 更新日期: 2023-09-27 17:52:42

这是我写的一个简单的查询。什么是最好的方法来参数化它,以防止SQL注入?

string selectQuery = "select [ID] from [myDB].[dbo].[myTable] where [myName] = '" +  user.globalUserName + "'";

sql server -参数化sql查询c#

您可以使用@来定义一个参数,如下所示:

string selectQuery = "select [ID] from [myDB].[dbo].[myTable] where [myName] = @username;";

然后您可以使用Command.Parameters函数定义参数,如下所示:

cmd.Parameters.Add("@username", SqlDbType.VarChar);
cmd.Parameters["@username"].Value = user.globalusername;

或者像这样:

cmd.Parameters.AddWithValue("@Username", user.globalusername);
相关文章: