c# – 为什么我们做SQLiteCommand,Parameters.add,而我们可以使用string.Format编写sql语句?

我在许多教程中看到,通过使用变量和Parameters.Add来构造sql语句

public void updateStudent(String @studentID, String @firstName, String @lastName)
{
    SQLiteCommand command = conn.CreateCommand();
    command.CommandText = "UPDATE Students SET firstName = @firstName, lastName = @lastName WHERE studentID = @studentID";
    command.Parameters.Add(new SQLiteParameter("@studentID", @studentID));
    command.Parameters.Add(new SQLiteParameter("@firstName", @firstName));
    command.Parameters.Add(new SQLiteParameter("@lastName" , @lastName));
    command.ExecuteNonQuery();
}

为什么我们不用

string.Format("Update Students SET firstName = '{0}', lastName = '{1}...", @firstName, @lastname)

任何好处?

最佳答案
四个原因:

>避免SQL injection attacks
>避免使用包含正确撇号的字符串的问题,而不打算引起SQL注入攻击(例如姓氏“O’Reilly”
>避免字符串不必要的转换,这可能会导致文化原因的失败(例如“1.23”和“1,23”之间的差异取决于您的文化
>保持代码(SQL)和数据(参数)分开,以提高可读性

另请注意:

>这不是SQLite特定的.这是所有数据库的最佳做法.
>除非是关键字,否则不需要使用@作为变量的前缀.所以写一下更惯用语:

command.Parameters.Add(new SQLiteParameter("@lastName", lastName));

(同上方法参数声明以…开头但不是参数
在SQL语句里面)

转载注明原文:c# – 为什么我们做SQLiteCommand,Parameters.add,而我们可以使用string.Format编写sql语句? - 代码日志