Хранение данных в SQLite

Question

Есть ли способ хранить TEXT в базе данных SQLite без SQLite, пытаясь его разобрать? Устранена проблема, когда при хранении ТЕКСТА, подобном SQLite-запросу, он пытается каким-то образом разобрать его.

запросов я использую, чтобы сохранить TEXT: "insert into tableName (Name, DateCreated, Reminder, Content) values ('name', 'currentDate', 'reminder', 'content')".

Похожие текст Я пытаюсь сохранить: "SELECT NAME FROM sqlite_master WHERE TYPE='table' ORDER BY NAME".

Когда я пытаюсь сохранить что-то подобное, он говорит: логическая ошибка SQL или отсутствуют базы данных: Ошибка рядом с «таблицей»: синтаксическая ошибка

Обратите внимание, что значения (имя, currentDate, напоминание, контент) не являются жестко закодированными, они передаются как строки. фактический код выглядит следующим образом:

SQLiteCommand command = new SQLiteCommand("insert into " + cateName + " (Name, DateCreated, Reminder, Content) values ('" + noteName + "', '" + currentDate + "', '" + reminder + "', '" + content + "')", connection); 

Спасибо за любой вклад.

Answer 1

Как я подозреваю, проблема в том, что вы помещаете свои значения непосредственно в SQL - даже не пытаясь их избежать. Не делайте этого. Как и проблемы, которые вы видите, вы открыли себя до SQL injection attack. Вместо этого используйте параметрированный SQL и укажите значения параметров.

Например:

// It's not clear what cateName is, but I'll assume *that* bit is valid... 
string sql = new SQLiteCommand("insert into " + cateName + 
    " (Name, DateCreated, Reminder, Content) values " + 
    "(@Name, @DateCreated, @Reminder, @Content)"); 

using (var command = new SQLiteCommand(sql, connection)) 
{ 
    command.Parameters.Add("@Name", SQLiteType.Text).Value = noteName; 
    command.Parameters.Add("@DateCreated", SQLiteType.DateTime).Value = currentDate; 
    command.Parameters.Add("@Reminder", SQLiteType.Text).Value = reminder; 
    command.Parameters.Add("@Content", SQLiteType.Text).Value = content; 
    command.ExecuteNonQuery(); 
}