[英]How can I use parameter to prevent sql injection when I must create SQL statement dynamically?
我有部分可能的代码如下。 我必须通过使用添加代码之类的参数来防止SQL注入
myCommand.Parameters.AddWithValue("@mystring", myString);
有可能使用吗?
因为我有一些动态参数,例如“ select XXX,XXX,....”。
count = myStringLists.count;
sql.Append(" select");
foreach(string myString in myStringLists)
{
sql.Append(string.Format("{0} ", myString));
if ((count--) > 1) sql.Append("\n ,"); else sql.Append("\n ");
}
您可以使用sp_executesql执行动态sql
声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.