我正在执行一个如下所示的 SQL 查询 (system.data.SQLite):
var color = "red";
var command = new SQLiteCommand("SELECT something FROM tabletop WHERE color = '" + color + "'", Connection);
var reader = command.ExecuteReader();
颜色变量是用户提供的文本。 我如何转义此文本以防止SQL注入? 或者这是一种不好的做法,我应该以某种完全不同的“保护”方式执行查询?