高分求解!-ASP.NET教程-爱易网页

高分求解!

日期：2014-05-18　浏览次数：20449 次

高分求解!十万火急！

C# code


CommentID = Request.Form["ID"];
            content = Request.Form["txtcontent"];
            title = Request.Form["title"];
            string strSQL = "";

            strSQL = "update  tablename set content='" + content + "',title='" + title + "'where ID=" + CommentID;
    
            Common.SqlHelper.ExecuteSql(Common.SqlHelper.YCSqlServer, strSQL);

Request.Form["TEXTAREA2"]里的值为<img src='http://images.qwsy.com/images/faces/005.gif' border='0' />
所以在执行sql语句的时候肯定会出语法错误
求解决方案！

------解决方案--------------------
strSQL = "update tablename set content='" + content.Replace("'","''") + "',title='" + title.Replace("'","''") + "'where ID=" + CommentID;
------解决方案--------------------
最好的方法是参数化
strSQL = "update tablename set content=@content,title=@title Where ID=@ID"
cmd.Parameters.AddWithValue("@content",content);
cmd.Parameters.AddWithValue("@title ",title );
cmd.Parameters.AddWithValue("@ID",CommentID );
cmd.ExecuteNonQuery()

------解决方案--------------------

探讨
最好的方法是参数化
strSQL = "update tablename set content=@content,title=@title Where ID=@ID"
cmd.Parameters.AddWithValue("@content",content);
cmd.Parameters.AddWithValue("@title ",title );
cmd.Parameters.……

------解决方案--------------------
Request.Form["TEXTAREA2"]里的值为<img src='http://images.qwsy.com/images/faces/005.gif' border='0' />
你要的是这个值吗还是?
------解决方案--------------------

------解决方案--------------------
参数化。。你这样还容易被sql注入

免责声明： 本文仅代表作者个人观点，与爱易网无关。其原创性以及文中陈述文字和内容未经本站证实，对本文以及其中全部或者部分内容、文字的真实性、完整性、及时性本站不作任何保证或承诺，请读者仅作参考，并请自行核实相关内容。

高分求解!

相关资料更多>

推荐阅读更多>