我在会话列表中有一些保存的文本要保存在数据库中。目前, 结果包含4个不同的字符串。
List<string> result = (List<string>)HttpContext.Current.Session["Application"];
foreach (string element in result)
{
//produce a query string?
}
我正在使用oracle数据库和其他插入的查询字符串,例如:
string sql = "insert into JOBQUESTIONS (JOBAPPLICATIONID, QUESTIONTEXT, TYPEID, HASCORRECTANSWER, CORRECTANSWER, ISREQUIRED) VALUES (" + JobID + ", \'" + QuestionText + "\', " + TypeID + ", " + HasCorrectAnswer + ", \'" + CorrectAnswer + "\', " + IsRequired + ")";
RunQuery(sql);
所以,我需要创建一组值。但请记住,这些都是字符串,因此我需要对所有字符串条目使用\'“+ + CorrectAnswer +”\',否则它不会添加到数据库中。
我可以使用字符串构建器吗?如果是这样的话?
答案 0 :(得分:3)
为什么要构建一个SQL字符串(最多可以打开SQL Injection)?我建议使用ORM(Entity Framework is the MSDN ORM,或者执行此操作的sproc(并使用SqlParameters)。或者,至少应该使用参数化字符串而不是直接推送值
var parameterizedQuery = new SqlCommand(
"INSERT INTO JOBQUESTIONS (JOBAPPLICATIONID,
QUESTIONTEXT, TYPEID, HASCORRECTANSWER, CORRECTANSWER, ISREQUIRED)
VALUES (@JobId, '@QuestionText', @TypeID , @HasCorrectAnswer , '@CorrectAnswer',
@IsRequired)");
parameterizedQuery.Parameters.Add("@JobId", SqlDbType.Int).Value = 123;
答案 1 :(得分:2)
尝试这样的事情:
var parms = string.Join(",", lst.Select(str => string.Format("'{0}'", str)));
var values = string.Format("VALUES({0})", parms);
正如其他人所建议的那样,使用参数化查询会更好更安全,所以如果你选择走这条路线我会考虑换成Dictionary而不是List。
var dict = new Dictionary<string, string>();
dict.Add("Foo", "Bar"); //parameter name, value
dict.Add("Bar", "Foo"); //...
dict.Select(d => cmd.Parameters.AddWithValue(string.Format("@{0}", d.Key), d.Value));
答案 2 :(得分:1)
使用参数化查询。这意味着您只需将一些临时名称插入到SQL查询中,如
"INSERT INTO tablename VALUEs(@param1, @param2, ...)";
然后定义参数:
cmd.Parameters.Add("@param1", SqlDbType.Int).Value = your actual value";