Parâmetros
Os parâmetros são usados para proteger contra ataques de injeção de SQL. Em vez de concatenar a entrada do usuário com instruções SQL, use parâmetros para garantir que a entrada seja tratada apenas como um valor literal e nunca executada. No SQLite, os parâmetros normalmente são permitidos em qualquer lugar onde um literal é permitido em instruções SQL.
Os parâmetros podem ser prefixados com :, @ou $.
command.CommandText =
@"
INSERT INTO user (name)
VALUES ($name)
";
command.Parameters.AddWithValue("$name", name);
Consulte Tipos de dados para obter detalhes sobre como os valores .NET são mapeados para valores SQLite.
Truncamento
Use a propriedade para truncar valores Size TEXT e BLOB.
// Truncate name to 30 characters
command.Parameters.AddWithValue("$name", name).Size = 30;
Tipos alternativos
Às vezes, você pode querer usar um tipo SQLite alternativo. Faça isso definindo a SqliteType propriedade.
Os seguintes mapeamentos de tipo alternativos podem ser usados. Para os mapeamentos padrão, consulte Tipos de dados.
| Value | SqliteType | Observações |
|---|---|---|
| Char | Número inteiro | UTF-16 |
| DateOnly | Real | Valor do dia juliano |
| DateTime | Real | Valor do dia juliano |
| DateTimeOffset | Real | Valor do dia juliano |
| GUID | Blob | |
| TimeOnly | Real | Em dias |
| TimeSpan | Real | Em dias |
command.CommandText =
@"
SELECT count(*)
FROM task
WHERE finished IS NULL
AND julianday('now') - julianday(started) > $expected
";
// Convert TimeSpan to days instead of text
command.Parameters.AddWithValue("$expected", expected).SqliteType = SqliteType.Real;
Parâmetros de saída
SQLite não suporta parâmetros de saída. Em vez disso, retorne valores nos resultados da consulta.
