В моем коде я это вездеЛегкий способ избежать строк sql?
command.Parameters.Add("@name", DbType.String).Value = name;
Есть ли более простой способ? Я хотел бы сделать что-то вроде
command.command.CommandTextFn("insert into tbl(key,val) values(?, ?);", key, value);
и выяснить, если ключ/значение является строкой или int. Я бы не возражал, если бы мне пришлось использовать {0}
вместо ?
Не делайте этого! Это открывает вам атаки SQL-инъекций! –
способ, которым вы уже пользуетесь, является probobly самым приятным ... – Mickel
Я не думаю, что он хочет использовать непараметризированные запросы, просто более простой способ их построить. – tvanfosson