C# 参数化全文搜索查询
我有一个全文搜索查询,并尝试添加Sql参数。 这是我的密码C# 参数化全文搜索查询,c#,sql-server,C#,Sql Server,我有一个全文搜索查询,并尝试添加Sql参数。 这是我的密码 using (var connection = GetDbConnection()) { connection.Open(); using (var cmd = new SqlCommand( string.Format("ALTER FULLTEXT STOPLIST [{0}] ADD @stopWor
using (var connection = GetDbConnection())
{
connection.Open();
using (var cmd =
new SqlCommand(
string.Format("ALTER FULLTEXT STOPLIST [{0}] ADD @stopWord LANGUAGE [{1}];", stopWord.StopList,
stopWord.Language), (SqlConnection)connection))
{
cmd.Parameters.AddWithValue("@stopWord", stopWord.StopWord);
cmd.ExecuteNonQuery();
}
}
但这是一个错误
“@stoplist”附近的语法不正确-->
System.Data.SqlClient.SqlException:“@stoplist”附近的语法不正确
如何构造查询以防止sql注入?
例如,作为stopWord值,我可以用引号符号发送此值
测试的
跳出单引号
stopWord.StopWord = stopWord.StopWord.Replace("'", "''")
如何处理其他字符?@user2455111能否指定其他字符