以更安全的方式将参数传递给sqlite查询

fykwrbwg  于 2023-03-03  发布在  SQLite
关注(0)|答案(1)|浏览(201)

下面是我从sqlite数据库中获取超过n天/月的数据的方法。下面的方法将用2个参数调用。
例如,
获取10天以前的数据-〉GetOldData(10,"days");
获取2个月以前的数据-〉GetOldData(2,"月");

private DataTable GetOldData(int valueInNumber, string valueInPeriod)
{ 
   sqliteCommand.CommandText = $"SELECT * FROM tblInfo WHERE SavedDate < DATE('Now', 'LocalTime', '-{valueInNumber} {valueInPeriod}')";
   

}

above方法工作正常。但是用上面的格式编写查询是不安全的。所以,我想把这两个params作为sql参数传递给查询。

sqliteCommand.Parameters.AddWithValue("period", 2);
sqliteCommand.Parameters.AddWithValue("term", "days");

已尝试使用上述参数. AddWithValue执行此操作,但条件不适用。
正确的方法应该是什么?

sqlite

1条答案

按热度按时间
mxg2im7a

mxg2im7a1#

你可以在查询中使用带有占位符的参数,比如@paramName,在这种情况下,你可以连接来自函数的字符串值。

sqliteCommand.CommandText = $"SELECT * FROM tblInfo WHERE SavedDate < DATE('Now', 'LocalTime', @param1)";
string value = valueInNumber + " " + valueInPeriod;
sqliteCommand.Parameters.AddWithValue("@param1", value);
赞(0)分享  回复(0)举报  2023-03-03
我来回答

相关问题

    查看更多

    热门标签

    更多
    JavaquerypythonNode开发语言requestUtil数据库Table后端算法LoggerMessageElementParser

    最新问答

    更多
    • 蜀ICP备2022004421号-2 NULL123 https://www.null123.com © All rights reserved
    • 本站内容来源互联网,如果侵犯您的权益请联系我们删除, 联系方式:448109455@qq.com