C#SQLITE - 如何通过数组或列表传递绑定参数?

时间:2015-09-09 17:01:09

标签: c# sqlite parameters sql-injection

我正在使用c#和sqlite,我希望能够将一个绑定参数数组传递给一个函数,以便我可以通过该函数插入或更新。

基本上我想做我通常在PHP中用PDO做的事情并使用绑定参数?并在执行语句时传递数组,它将按顺序附加它们。但我不知道如何在C#和sqlite中做类似的事情。

(我意识到我的设置可能有错误或效率低下,甚至有一般的编码错误。如何正确设置,特别是完整的工作示例的任何示例都将非常感激。)

我想做的事情会是这样的:

List<string> sqlParameters = new List<string>();
sqlParameters.Add("Red");
sqlParameters.Add("Blue");
sqlParameters.Add("Green");
updateDatabase("update table set column1 = @column1, column2= @column2 where column3 = @column3", sqlParameters);

int updateDatabase(string sql, List<string> sqlParameters)
{
    try 
    {
        dbConnection = new SQLiteConnection("Data Source=database.sqlite;Version=3;FailIfMissing=True");
        dbConnection.Open();
        sqlcommand.Prepare();

        // I want to switch this next line somehow with something that allows me to simply 
        // pass the bound parameters list or array all at once and it attaches them in 
        // order. Similar to PDO using ? and passing an array in PHP.
        sqlcommand.Parameters.AddWithValue("@column1", sqlParameters);
        SQLiteCommand command = new SQLiteCommand(sql, dbConnection);
        int affectedRows = command.ExecuteNonQuery();   
        dbConnection.Close();       
        return affectedRows;
    } 
    catch (Exception e) 
    {
        MessageBox.Show(e.ToString());
    }

    return 0;
}

---------------编辑 - 在PookyFan的帮助下得出结果:---------------

如果有人关心使用它,我的最终功能最终看起来像这样:

List<string> sqlParameters = new List<string>();
sqlParameters.Add("red");
sqlParameters.Add("blue");

updateDatabase("insert or replace into chattracking (column1, column2) VALUES (@param0, @param1)",sqlParameters);




int updateDatabase(string sql, List<string> sqlParameters)
        {
            try {
                dbConnection =
                new SQLiteConnection("Data Source=databasename.sqlite;Version=3;FailIfMissing=True");
                dbConnection.Open();
                SQLiteCommand command = new SQLiteCommand(sql, dbConnection);
                command.Prepare();

                for (int i = 0; i < sqlParameters.Count; i++) {
                    command.Parameters.AddWithValue(("@param" + i.ToString()), sqlParameters[i]);
                }                   

                int affectedRows = command.ExecuteNonQuery();               

                dbConnection.Close();

                return affectedRows;


            } catch (Exception e) {

                MessageBox.Show(e.ToString());
            }

            return 0;
        }

1 个答案:

答案 0 :(得分:0)

这样的东西?

for(int i = 0; i < sqlParameters.Count; ++i)
    sqlcommand.Parameters.AddWithValue("@column" + i.ToString(), sqlParameters[i]);
相关问题
最新问题