c#insert into,该如何解决
日期:2014-05-17 浏览次数:21208 次
c#insert into
我要插入整数和字符串怎么写?
string commandLine = "insert into " + source + "(" + parameter + ")" + " value("+ value +")";
SqlCommand comm = new SqlCommand(commandLine);
可以把value全部变成string传入吗??
------解决方案--------------------
知道啊 所以我让你确保你传进来的值是我写的这种类型的啊。你调试看下 传过来的值是不是我写的格式。是应该是OK的。
------解决方案--------------------
建议用参数化方式传参,否则会有SQl注入风险,例如
我要插入整数和字符串怎么写?
string commandLine = "insert into " + source + "(" + parameter + ")" + " value("+ value +")";
SqlCommand comm = new SqlCommand(commandLine);
可以把value全部变成string传入吗??
------解决方案--------------------
知道啊 所以我让你确保你传进来的值是我写的这种类型的啊。你调试看下 传过来的值是不是我写的格式。是应该是OK的。
------解决方案--------------------
建议用参数化方式传参,否则会有SQl注入风险,例如
cmd.CommandText="insert into " + source + "(" + parameter + ")" + " value(@param1,@param2)";
cmd.Parameters.Clear();
cmd.Parameters.Add(new SqlParameter("@param1",SqlDbType.VarChar,10){Value="test"});
cmd.Parameters.Add(new SqlParameter("@param2",SqlDbType.Int){Value=5});
cmd.ExecuteNonQuery();
免责声明: 本文仅代表作者个人观点,与爱易网无关。其原创性以及文中陈述文字和内容未经本站证实,对本文以及其中全部或者部分内容、文字的真实性、完整性、及时性本站不作任何保证或承诺,请读者仅作参考,并请自行核实相关内容。
