sql语句update [表名] set [列明]=value where id in(1,2,3,4,5,6,7)
获得一个List<int>ids参数里面存储要修改的行的id,达到上面sql语句的效果的防sql注入的写法是啥?可以是linq语句什么的,求懂的人指点,急需...
获得一个List<int> ids参数里面存储要修改的行的id,达到上面sql语句的效果的防sql注入的写法是啥?可以是linq语句什么的,求懂的人指点,急需
展开
展开全部
解决方案
1. 对传入的参数进行特殊处理
动态的拼接SQL查询语句
2.案例:
List<int> idList ;
// idList 处理List
// "id" 列名
string sql ="DELETE FROM target_table WHERE id IN "+ Utilty.GetWhereIn(idList,"id",conn );
// List<int> 处理UserList
// column_name 表中列名
// 数据库连接 Connection
public string GetWhereIn(List<int> userList,string column_name,Connection conn){
string[] ins = new string[userList.size()];
for (int i = 0; i < ins.Length; i++)
{
ins[i] = "@_" + colName + "_" + i;
conn.AddParameter(new SqlParameter(ins[i], rows[i][colName]));
}
return "(" + string.Join(",", ins) + ")";
}
我没试过这个语句,思路就是这样!对于C#我不大熟啊!
你自己修改测试一下!希望能够帮助你
1. 对传入的参数进行特殊处理
动态的拼接SQL查询语句
2.案例:
List<int> idList ;
// idList 处理List
// "id" 列名
string sql ="DELETE FROM target_table WHERE id IN "+ Utilty.GetWhereIn(idList,"id",conn );
// List<int> 处理UserList
// column_name 表中列名
// 数据库连接 Connection
public string GetWhereIn(List<int> userList,string column_name,Connection conn){
string[] ins = new string[userList.size()];
for (int i = 0; i < ins.Length; i++)
{
ins[i] = "@_" + colName + "_" + i;
conn.AddParameter(new SqlParameter(ins[i], rows[i][colName]));
}
return "(" + string.Join(",", ins) + ")";
}
我没试过这个语句,思路就是这样!对于C#我不大熟啊!
你自己修改测试一下!希望能够帮助你
本回答被提问者采纳
已赞过
已踩过<
评论
收起
你对这个回答的评价是?
推荐律师服务:
若未解决您的问题,请您详细描述您的问题,通过百度律临进行免费专业咨询
