※ 引述《keanekiri (<<kiri>>)》之銘言： : private void paperupdate_Click(object sender, EventArgs e) : { : string connStr, insertCmd, datedate; : datedate = DateTime.Today; : connStr = "Provider=Microsoft.Jet.OLEDB.4.0; : DataSource=CIIEconfrence1.mdb"; : insertCmd = "Insert Into paper_info(category, title, date, : keyword, content) Values( '" + upcategory.Text + "', : '" + uptitle.Text + "','" + datedate.Text + "', : '" + upkeyword.Text + "','" + upabstract.Text + "')"; 儘量不要用這種字串串接式的寫法, 這樣寫法容易有SQL Injection的問題, 在.Net 中是建議大家多用Parameter的方式來做, 如下: string strTmp = "Insert into table1 (field1, field2, field3) values(@field1, @field2, @field3)" OdbcCommand odbcCmd = new OdbcCommand(strTmp, odbcConn); odbcCmd.Parameters.Add("@field1", OdbcType.VarChar, 50).Value = "value1"; odbcCmd.Parameters.Add("@field2", OdbcType.VarChar, 50).Value = "value2"; odbcCmd.Parameters.Add("@field3", OdbcType.VarChar, 50).Value = "value3"; 其中的OdbcType.VarChar是您DB欄位的DATA TYPE, 50是其長度(幾個字元), 僅供參考 -- ※ 發信站: 批踢踢實業坊(ptt.cc) ◆ From: 220.131.140.50