У меня полнотекстовый поисковый запрос и попробуйте добавить к нему параметры Sql.
Вот мой код
using (var connection = GetDbConnection())
{
connection.Open();
using (var cmd =
new SqlCommand(
string.Format("ALTER FULLTEXT STOPLIST [{0}] ADD @stopWord LANGUAGE [{1}];", stopWord.StopList,
stopWord.Language), (SqlConnection)connection))
{
cmd.Parameters.AddWithValue("@stopWord", stopWord.StopWord);
cmd.ExecuteNonQuery();
}
}
Но это ошибка
Неверный синтаксис рядом с @stoplist. --->
System.Data.SqlClient.SqlException: неправильный синтаксис рядом с'@stoplist'.
Как я могу построить свой запрос для защиты от SQL инъекций?
Например, в качестве значения stopWord я могу отправить это с символом кавычки
тест в