目前,我正在创建一个SQL查询,类似于以下操作:
string SQLQuery = "SELECT * FROM table WHERE ";
foreach(word in allTheseWords)
{
SQLQuery = SQLQuery + " column1 = '" + word + "' AND";
}
我知道这可能会导致SQL注入攻击。我不知道如何将数组作为参数传递。
where report in @allTheseWords
===========
我正在使用 SQL Server 2012。