Если вы используете сырой SQL, то, скорее всего, вы используете DataTable
объекты, верно?Если вы используете DataTable, вы можете отсортировать эти данные после их извлечения из базы данных, используя DataView
, и связать свой элемент управления с DataView.Таким образом, вы не предоставляете предоставленным пользователем данным доступ к вашему SQL.Итак, в вашем коде вы бы сделали что-то вроде этого:
DataTable dt = GetData(); // pull data from DB with no sort specified
DataView view = dt.DefaultView; // Get a DataView so you can sort
view.Sort = "Col1, Col2 DESC"; // assemble sort string from your command args
MyControl.DataSource = view;
MyControl.DataBind();