我有这样的查询:
SELECT * FROM Table1 WHERE Column1 = {0} AND Column2 = {1}
我想执行该语句并发送包含应替换{0}和{1}的值的参数列表。包含2个元素的对象列表。
到目前为止我只找到了带有命名参数的解决方案,但我不想要命名参数,我想按照上面指定的方式进行...
答案 0 :(得分:5)
此字符串看起来像String.Format的格式字符串,与参数化查询无关。
基本上你不应该使用String.Format和其他字符串连接操作来创建sql查询,因为它会导致sql注入。
使用SqlCommand.Parameters参数化查询是更安全的方法,请考虑使用它。