作者tree581 (talltree)
看板C_Sharp
标题[程式] ado.net捞资料程式
时间Tue Mar 19 19:52:57 2013
小弟想请教高手们一些程式上详细的解说
以下是一个新增sql asp程式
1. strSQL = "Insert INTO table (column1" + //因为column1是主键,所以才会
2. ", column2 ,column3 ) "; //将""分开包起来吗?
3. //问题一
4. strSQL += "VALUES ('" + column1txtbox.Text + "', '"; //
5. strSQL += column2txtbox.Text + "', '";
6. strSQL += column3txtbox.Text + "')";
问题二
//4~6一下这个 " 一下 ' (一下双引号一下单引号) 我有点搞不清楚
""双引号我知道通常是包字串 ' 单引号是作什麽用的是字元吗?
另外4~6行的程式 感觉 "' 单引号双引号为什麽交叉在一起了,这是怎麽包的?
我看不懂4~6行的标点符号意思?
有大大可以帮解释注解一下吗?
小弟对那 " '有点混乱
--
※ 发信站: 批踢踢实业坊(ptt.cc)
◆ From: 120.96.170.165
1F:→ soup514:双引号用在c# 单引号用在sql 03/19 19:54
2F:→ soup514:insert into table(c1,c2) values('a','b') 03/19 19:56
3F:→ soup514:只是这种写法不好 有sql injection问题 03/19 19:58
4F:→ tree581:s大 那什麽写法好? 可否提供?谢谢 03/19 21:08
5F:→ brian90191:参数化查询 03/19 21:26
6F:推 Ansaga:parameter 03/20 09:27
7F:→ andymai:如果这个写法是书上的~那作者应该被抓来打屁股... 03/20 12:50
8F:→ soup514:说实在 不危害资安 内部使用等等 这种写法多的是 03/20 21:26
9F:→ tree581:还有其他好写法吗? 可否分享? 感谢 03/21 23:51
10F:推 Ethan96:在SQLCommand内使用@ 如果用OleDB就要用? 03/26 23:26