在C＃中使用sqlite进行SQL转义

我有一个文本字段，它打破了我的SQL语句。我如何逃脱该领域的所有角色？我在C＃中使用带有http://sqlite.phxsoftware.com/的 sqlite

您应该使用如下参数：

SQLiteCommand cmd = _connection.CreateCommand(); cmd.CommandType = CommandType.Text; cmd.CommandText = "SELECT * FROM MyTable WHERE MyColumn = @parameter"; cmd.Parameters.Add( new SQLiteParameter( "@parameter", textfield ) ); SQLiteDataReader reader = cmd.ExecuteReader();

使用参数化SQL将转义所有输入值，并帮助保护您免受SQL注入攻击。

您还可以用怀疑单引号（而不是“）替换所有单引号分隔符。

 sql = sql.Replace("'","''");

Interesting Posts

第二个路径片段不能是驱动器或UNC名称 – 创建子目录错误

C＃引用赋值运算符？

entity frameworkToString方法

如何仅在DateTime对象中删除C＃中的日期时间部分

Unity private唤醒更新和启动方法如何工作？

UriTemplate WCF

32位整数上的按位与

如何在C＃中从TFS中检索工作项列表？

如何制作可resize的矩形选择工具？

获取枚举的基础/派生类型？