对于查询参数,用参数化的方式,不要用拼接SQL字符串的方式

public void DeleteDeviceInGroupByDeviceId(string deviceId)
{
            string sqlalert = string.Format("DELETE FROM `bx_bitlab_iot_deviceingroup` where DeviceDefId='{0}'", deviceId); 
            var alertcount = Session.CreateSQLQuery(sqlalert);

}

即把那些string.format占位符的写法,改为 SQL 参数 SetParameter 的写法

 

 

 

 

 

发表评论

您的电子邮箱地址不会被公开。