¿Cuál es la mejor forma de ejecutar una declaración personalizada sql
usando IN
desde un C# LinQ a un sql datacontext? He tratado:Parámetros de DataContext ExecuteCommand en la instrucción IN
db.ExecuteCommand(
"UPDATE tblCard SET used = 1 WHERE id IN ({0}) AND customer_id = {1}",
Request.Form["ids"], customer_id
);
cual está bien para 1 artículo pasa a través de la forma, pero si me sale publicado a través de, por ejemplo, "2,1" cuando me siento un sqlclient
excepción:
Error de conversión al convertir el valor nvarchar '2,1' al tipo de datos int.
Si en su lugar utilizo string.format para insertar el parámetro, funciona bien, pero obviamente está abierto a la inyección sql.