字符串变量是否可以包含 int

Question

我有一个字符串变量string SQLstr = "SELECT [column] FROM [DB].[Table] WHERE [column]= {0}"。这在查询VARCHAR 列时工作得非常好，但是如果我查询了一个 int 列，那么我会得到一个错误，大概是因为它正在查询一个带有字符串的 int 列。

由于textBox1.Text 是用户输入，有什么方法可以在运行SqlDataAdapter cmd = new SqlDataAdapter(string.Format(SQLstrL,textBox1.Text), conn) 时将其解释为int？

Answer 1

不要这样做

你所拥有的是很容易受到 SQL 注入攻击的；它实际上是在乞求被黑。

有一种更好的方法可以完成同样的事情，既可以安全地免受这些攻击，也可以解决您的字符串与 int 问题：

string SQLstr = "SELECT [column] FROM [DB].[Table] WHERE [column]= @Parameter";
var cmd = new SqlCommand(SQLstr, conn);
cmd.Parameter.Add("@Parameter", SqlDbType.Int).Value = int.Parse(textBox1.Text);

或

string SQLstr = "SELECT [column] FROM [DB].[Table] WHERE [column]= @Parameter";
var cmd = new SqlCommand(SQLstr, conn);
cmd.Parameter.Add("@Parameter", SqlDbType.VarChar, 20).Value = textBox1.Text;

请注意，您仍然必须知道查询中该位置的期望值是什么。 没有什么可以帮助您摆脱这种情况，因为我们生活在一个强类型的世界中。甚至可以推断您的数据类型的AddWithValue() 方法也有significant reasons not to use it。

Answer 2

您可以尝试在 sql 结果的末尾连接一个空字符串。如果结果是（装箱的）int，则 + "" 将强制将其转换为字符串。

我同意 cmets 关于 SQL 注入风险的观点。这不是您可以向公众发布的东西，除非文本框非常受限。