带有未命名参数的c# Sql查询
本文关键字:Sql 查询 参数 未命名 | 更新日期: 2023-09-27 18:17:41
我有一个这样的查询:
SELECT * FROM Table1 WHERE Column1 = {0} AND Column2 = {1}
我想执行该语句并发送一个参数列表,其中包含替换{0}和{1}的值。一个包含两个元素的对象列表。
我现在只找到了命名参数的解决方案,但我不想要命名参数,我想用上面指定的方式来做…
这个字符串看起来像String.Format的格式字符串,与参数化查询无关。
基本上你不应该使用String.Format和其他字符串连接操作来创建sql查询,因为这会导致sql注入。
对SqlCommand.Parameters使用参数化查询是更安全的方法,可以考虑使用