如何:具有UPDATE/WHERE命令的SQLite参数

Question

我正在编写第一个数据库应用程序。它是一个带有C#数据库的WinForms应用程序。

我试图编写一个SQLite查询，它使用带有UPDATE/WHERE命令的参数，而不是INSERT命令，这是您通常看到的。

下面是我作为模板使用的链接。请参见清单14-2。

注入

有人能提供一些关于如何更改链接中的查询以使用UPDATE/WHERE语句而不是INSERT语句的一些见解吗？

Answer 1

那么，这篇文章只是指出，您希望将查询作为参数化查询来编写，以避免sql注入攻击。因此，查询逻辑与通常编写的逻辑相同，但不使用字符串连接将动态值放入其中，而是使用语法"@someVariableName“后面的变量，然后在sqlCommand对象上添加动态值作为参数。

以下是关于如何为SQLite：参数化查询执行此操作的演练链接

编辑:当旧的引用消失时，必须为这个答案找到一个新的参考。

Answer 2

也许您可以使用SQLiteDataAdapter更新函数更新数据库。

cmdSQLite = new SQLiteCommand("SELECT * FROM TableName", connectionSQLite);
   daSQLite = new SQLiteDataAdapter();
   daSQLite.SelectCommand = cmdSQLite;
   dsSQLite = new DataSet();               
   daSQLite.Fill(dsSQLite, "TableName");
   dsSQLite.Tables["TableName"].Rows[NumberOfRowToChange]["ColumnName"] = somevalue;
   //...
   daSQLite.Update(dsSQLite, "TableName");