[程式] ado.net撈資料程式

作者tree581 (talltree)

看板C_Sharp

標題[程式] ado.net撈資料程式

時間Tue Mar 19 19:52:57 2013

小弟想請教高手們一些程式上詳細的解說以下是一個新增sql asp程式 1. strSQL = "Insert INTO table (column1" + //因為column1是主鍵，所以才會 2. ", column2 ,column3 ) "; //將""分開包起來嗎? 3. //問題一 4. strSQL += "VALUES ('" + column1txtbox.Text + "', '"; // 5. strSQL += column2txtbox.Text + "', '"; 6. strSQL += column3txtbox.Text + "')"; 問題二 //4~6一下這個 " 一下 ' (一下雙引號一下單引號) 我有點搞不清楚 ""雙引號我知道通常是包字串 ' 單引號是作什麼用的是字元嗎? 另外4~6行的程式感覺 "' 單引號雙引號為什麼交叉在一起了，這是怎麼包的? 我看不懂4~6行的標點符號意思? 有大大可以幫解釋註解一下嗎? 小弟對那 " '有點混亂 -- ※ 發信站: 批踢踢實業坊(ptt.cc) ◆ From: 120.96.170.165

→ soup514:雙引號用在c# 單引號用在sql 03/19 19:54

→ soup514:insert into table(c1,c2) values('a','b') 03/19 19:56

→ soup514:只是這種寫法不好有sql injection問題 03/19 19:58

→ tree581:s大那什麼寫法好? 可否提供?謝謝 03/19 21:08

→ brian90191:參數化查詢 03/19 21:26

推 Ansaga:parameter 03/20 09:27

→ andymai:如果這個寫法是書上的~那作者應該被抓來打屁股... 03/20 12:50

→ soup514:說實在不危害資安內部使用等等這種寫法多的是 03/20 21:26

→ tree581:還有其他好寫法嗎? 可否分享? 感謝 03/21 23:51

推 Ethan96:在SQLCommand內使用@ 如果用OleDB就要用? 03/26 23:26