我有两个问题
1.我有一个字符串列表,它是列名。如何在SQL查询中使用它?
2.该方法是否易于注入SQL?
这就是我现在所拥有的
List<string> Columnnames = new List<string>();
cmd = new SqlCommand("Select "+Columnnames+" from test");
最佳答案
要回答您的问题:
问题1-将您的代码更改为以下内容:
List<string> Columnnames = new List<string>();
// Code that populates Columnnames here
cmd = new SqlCommand("Select " + string.Join(",", Columnnames) + " from test");
问题2-取决于您如何填充
Columnnames。如果是通过网络输入填充的,那么可以。