c#动态查询字符串问题

时间:2014-07-04 11:14:47

标签: c# salesforce soql

我想将查询保存为带有"变量名称"的字符串。在文件中 -

SELECT Id FROM Object WHERE name = "+ VARIABLE_NAME + "

并希望执行类似 -

的查询
public void executeQuery(String VARIABLE_NAME)
 {
   String query = ReadQuery(); // some method which reads queryfrom file.

   ExecuteQuery(query );   // value of VARIABLE_NAME should be included from parameter  

  }

我想变量值应该包含在参数中。我不能像这样使用它 -

  

command.Parameters.AddWithValue(" @ VARIABLE_NAME",VARIABLE_NAME);

请给我一个解决方案。

提前致谢。

注意:这是SOQL查询,而不是SQL查询。

1 个答案:

答案 0 :(得分:0)

我认为您的问题并非围绕参数字符串''。

SOQL = "select x, y, z from Document where y='" + SOME_PARAMETER + "';";

但是,这非常容易受到SQL注入的攻击。<​​/ p>