如果我想获得一个电子邮件地址为“me@example.com”的用户,如何将其作为linq中的参数传递?
即:
var a = from u in Users
where u.Email = @email
Select u;
所以这将在我的方法中使用:
public static GetuserByEmail(string email)
我是否只传入变量或?
答案 0 :(得分:8)
Linq To SQL会自动为您处理SQL注入保护。如果您担心SQL注入,可以安全地从用户传递参数。
它会自动参数化您传入的参数并对其进行消毒。
如果您担心XSS,那么您可以Html.Encode()输出以确保它安全地传回UI。
public User GetUserByEmail(string email)
{
User a = (from u in db.Users
where u.Email == email
select u).Single();
return a;
}
我目前不在IDE的前面,所以代码在整个过程中可能不是完全正确的。
答案 1 :(得分:0)
var a = from u in Users
where u.Email == email
select u;
完美可行(LINQ to SQL将生成参数化SQL查询)
PS:你需要两个'='作为等于运算符