最近我了解到,为了避免SQL注入等安全问题,应该绝对使用参数化查询。这很好,我已经将其实现。
以下代码展示了我如何实现:
param1 = new SqlParameter();
param1.ParameterName = "@username";
param1.Value = username.Text;
cmd = new SqlCommand(str, sqlConn);
cmd.Parameters.Add(param1);
//and so on
但问题是,我有超过14个需要保存到数据库的变量,就像一个注册表格。如果我必须写14次来参数化每个变量,这看起来会非常混乱。有没有更动态的方法?比如使用for循环或其他方式,在循环中以某种方式对每个变量进行参数化?