C＃動態查詢字符串問題

Question

我想保存查詢與「變量名」字符串的文件 -

SELECT Id FROM Object WHERE name = "+ VARIABLE_NAME + " 

和要執行的查詢像 -

public void executeQuery(String VARIABLE_NAME) 
{ 
    String query = ReadQuery(); // some method which reads queryfrom file. 

    ExecuteQuery(query); // value of VARIABLE_NAME should be included from parameter 

    } 

我想要變量值應該包含在參數中。我不能像這樣使用它 -

command.Parameters.AddWithValue（「@ VARIABLE_NAME」，VARIABLE_NAME）;

請給我一個解決方案。

在此先感謝。

注意：這是SOQL查詢，而不是SQL查詢。

Answer 1

我假設你的問題不是用''圍繞參數字符串。

SOQL = "select x, y, z from Document where y='" + SOME_PARAMETER + "';"; 

但是，這非常容易受到SQL注入的影響。