SQL escape con sqlite en C#

Tengo un campo de texto y está rompiendo mi instrucción sql. ¿Cómo escapo todos los caracteres en ese campo? Estoy usando SQLite con http://sqlite.phxsoftware.com/ en C#SQL escape con sqlite en C#

Fuente

2009-03-11 Anonymous

Debe utilizar un parámetro como en:

SQLiteCommand cmd = _connection.CreateCommand(); 
cmd.CommandType = CommandType.Text; 
cmd.CommandText = "SELECT * FROM MyTable WHERE MyColumn = @parameter"; 
cmd.Parameters.Add(new SQLiteParameter("@parameter", textfield)); 
SQLiteDataReader reader = cmd.ExecuteReader();

El uso de un SQL parametrizado escapará a todos los valores de entrada y ayudará a protegerse de los ataques de inyección SQL.

Fuente

2009-03-11 03:43:44 bstoney

¿Qué hago si tengo múltiples params? Qué escribo cmd.CommandText =" insert ... @parameter ... @parameter "; cmd.Parameters.Add (...); cmd.Parameters.Add (...);? –

Sí, también debe haber un método AddRange disponible donde puede pasar una matriz de parámetros que coinciden con los parámetros en el sql statemenet. –

Puede llamar a Parameters.Add varias veces al igual que ha pedido o utilizar los parámetros.AddRange que acepta una matriz de parámetros. – bstoney

También puede reemplazar todos los delimitadores de comillas simples con la duda comillas simples (no ").

sql = sql.Replace("'","''");

Fuente

2009-03-11 03:54:42 klkitchens

Este método no es re encomiado, puede conducir a errores extraños. – Palani

No necesariamente. Si construye su SQL y hace que Reemplazar el último paso, todo debería ser bueno. Trabajó por años sin problemas. Uso los bloques de aplicaciones ahora, así que no importa. :) – klkitchens

este método es bueno si necesita crear un SQL seguro para volcar a un archivo de texto o similar. –

Respuesta

Cuestiones relacionadas