Parameter

  • Artikel

Parameter werden zum Schutz vor Angriffen durch Einschleusung von SQL-Befehlen verwendet. Anstatt Benutzereingaben mit SQL-Anweisungen zu verketten, stellen Sie mithilfe von Parametern sicher, dass Eingaben nur als Literalwert behandelt und nie ausgeführt werden. In SQLite sind Parameter in der Regel überall dort zulässig, wo in SQL-Anweisungen Literalwerte zulässig sind.

Parametern können die Präfixe :, @ oder $ vorangestellt werden.

command.CommandText =
@"
    INSERT INTO user (name)
    VALUES ($name)
";
command.Parameters.AddWithValue("$name", name);

Weitere Informationen zur Zuordnung von .NET-Werten zu SQLite-Werten finden Sie unter Datentypen.

Abschneiden

Verwenden Sie zum Abschneiden von TEXT- und BLOB-Werten die Eigenschaft Size.

// Truncate name to 30 characters
command.Parameters.AddWithValue("$name", name).Size = 30;

Alternative Typen

Möglicherweise sollten Sie ab und zu einen alternativen SQLite-Typ verwenden. Legen Sie dazu die Eigenschaft SqliteType fest.

Die folgende Zuordnung von alternativen Datentypen ist hierbei nützlich. Die Standardzuordnungen finden Sie unter Datentypen.

Wert SQLite-Typ Hinweise
Char Ganze Zahl UTF-16
DateOnly Real Wert für julianischen Tag
DateTime Real Wert für julianischen Tag
DateTimeOffset Real Wert für julianischen Tag
GUID Blob
TimeOnly Real In Tagen
TimeSpan Real In Tagen 
command.CommandText =
@"
    SELECT count(*)
    FROM task
    WHERE finished IS NULL
        AND julianday('now') - julianday(started) > $expected
";
// Convert TimeSpan to days instead of text
command.Parameters.AddWithValue("$expected", expected).SqliteType = SqliteType.Real;

Ausgabeparameter

Ausgabeparameter werden von SQLite nicht unterstützt. Geben Sie stattdessen Werte in den Abfrageergebnissen zurück.

Siehe auch