C#中SQL语句执行
各位大哥帮我看一下这个问题str="insertintoVIP.[dbo].[会员账号](姓名,卡号,手机,QQ)values('丽妍',521,521,97)";上面的...
各位大哥 帮我看一下 这个问题
str = "insert into VIP.[dbo].[会员账号](姓名,卡号,手机,QQ) values( '丽妍',521,521,97)";
上面的sql语句 是通过程序向数据库中添加的数据的。在values后的括号内如果直接填写要添加的数据那么这个sql语句能够正确执行,但是要是把字段的值通过textbox获得就不行了,就是这个语句 str = "insert into VIP.[dbo].[会员账号](姓名,卡号,手机,QQ) values(this.textBox1.Text.Trim(),this .textBox2 .Text .Trim (),this .textBox3 .Text .Trim (),textBox4 .Text .Trim ())"
帮我解决呀 急啊 展开
str = "insert into VIP.[dbo].[会员账号](姓名,卡号,手机,QQ) values( '丽妍',521,521,97)";
上面的sql语句 是通过程序向数据库中添加的数据的。在values后的括号内如果直接填写要添加的数据那么这个sql语句能够正确执行,但是要是把字段的值通过textbox获得就不行了,就是这个语句 str = "insert into VIP.[dbo].[会员账号](姓名,卡号,手机,QQ) values(this.textBox1.Text.Trim(),this .textBox2 .Text .Trim (),this .textBox3 .Text .Trim (),textBox4 .Text .Trim ())"
帮我解决呀 急啊 展开
展开全部
str = "insert into VIP.[dbo].[会员账号](姓名,卡号,手机,QQ) values("+this.textBox1.Text.Trim()+","+this .textBox2 .Text .Trim ()+","+this .textBox3 .Text .Trim ()+","+textBox4 .Text .Trim ()+")"
照抄吧
不过这样很容易SQL注入.
你应该参考这样写,@name是参数,你一共有4个,照写
SqlConnection conn = GetConn(); //获取套接字
string sql = "insert into VIP.[dbo].[会员账号](姓名,卡号,手机,QQ) values( @name,@card,@mobile,@qq)";
SqlCommand cmd = new SqlCommand(sql, conn);
cmd.Parameters.Add("@name", SqlDbType.NVarChar).Value = this.textBox1.Text.Trim();
cmd.Parameters.Add("@card", SqlDbType.NVarChar).Value = this.textBox2.Text.Trim();
cmd.Parameters.Add("@mobile", SqlDbType.NVarChar).Value = this.textBox3.Text.Trim();
cmd.Parameters.Add("@qq", SqlDbType.NVarChar).Value = this.textBox4.Text.Trim();
conn.Open();
cmd.ExecuteNonQuery();
conn.Close();
照抄吧
不过这样很容易SQL注入.
你应该参考这样写,@name是参数,你一共有4个,照写
SqlConnection conn = GetConn(); //获取套接字
string sql = "insert into VIP.[dbo].[会员账号](姓名,卡号,手机,QQ) values( @name,@card,@mobile,@qq)";
SqlCommand cmd = new SqlCommand(sql, conn);
cmd.Parameters.Add("@name", SqlDbType.NVarChar).Value = this.textBox1.Text.Trim();
cmd.Parameters.Add("@card", SqlDbType.NVarChar).Value = this.textBox2.Text.Trim();
cmd.Parameters.Add("@mobile", SqlDbType.NVarChar).Value = this.textBox3.Text.Trim();
cmd.Parameters.Add("@qq", SqlDbType.NVarChar).Value = this.textBox4.Text.Trim();
conn.Open();
cmd.ExecuteNonQuery();
conn.Close();
已赞过
已踩过<
评论
收起
你对这个回答的评价是?
展开全部
"insert into VIP.[dbo].[会员账号](姓名,卡号,手机,QQ) values('"+this.textBox1.Text.Trim()+"',"+int.Parse(this .textBox2 .Text .Trim ())+","+int.Parse(this .textBox3 .Text .Trim ())+","+int.Parse(textBox4 .Text .Trim ())+")"
这种插入语句写法很不安全!建议将程序分层
这种插入语句写法很不安全!建议将程序分层
本回答被提问者采纳
已赞过
已踩过<
评论
收起
你对这个回答的评价是?
展开全部
str = "insert into VIP.[dbo].[会员账号](姓名,卡号,手机,QQ) values('"+this.textBox1.Text.Trim(),'"+this .textBox2 .Text .Trim ()+"','"+this .textBox3 .Text .Trim ()+"','"+textBox4 .Text .Trim ()+"')";
这样才对么.
这样才对么.
已赞过
已踩过<
评论
收起
你对这个回答的评价是?
展开全部
你要转换成this.textBox1.Text.Trim().ToString(),这样就可以了,你试试吧。
已赞过
已踩过<
评论
收起
你对这个回答的评价是?
更多回答(2)
推荐律师服务:
若未解决您的问题,请您详细描述您的问题,通过百度律临进行免费专业咨询
