c#中insert into values的格式
cmd.CommandText="insertinto[MyTable2](学号,姓名,性别,出生日期,学院编码,成绩)values('"+textBoxStudentI...
cmd.CommandText="insert into [MyTable2](学号,姓名,性别 ,出生日期,学院编码,成绩)values('"+textBoxStudentID.Text+"','"+textBoxName.Text+"','"+textBoxSex.Text+"','"+textBoxDate.Text+"','"+textBoxXyID.Text+"',Convert.ToInt32(textBoxGrade.Text))";其中textBoxDate.Text插入的是日期
展开
展开全部
建议像我这样用参数的形式
string sqlStr = @"Insert Into [User] Values(@Name,@Password,@Type,@Memo)";
SqlCommand cmd = new SqlCommand();
cmd.Connection = conn;
cmd.CommandText = sqlStr;
cmd.Parameters.Add("@Name", SqlDbType.Char, 10);
cmd.Parameters.Add("@Password", SqlDbType.Char, 10);
cmd.Parameters.Add("@Type", SqlDbType.Int);
cmd.Parameters.Add("@Memo", SqlDbType.Char, 50);
cmd.Parameters[0].Value = name;
cmd.Parameters[1].Value = password;
cmd.Parameters[2].Value = type;
cmd.Parameters[3].Value = memo;
不仅不会出错,而且安全,不会被sql注入
string sqlStr = @"Insert Into [User] Values(@Name,@Password,@Type,@Memo)";
SqlCommand cmd = new SqlCommand();
cmd.Connection = conn;
cmd.CommandText = sqlStr;
cmd.Parameters.Add("@Name", SqlDbType.Char, 10);
cmd.Parameters.Add("@Password", SqlDbType.Char, 10);
cmd.Parameters.Add("@Type", SqlDbType.Int);
cmd.Parameters.Add("@Memo", SqlDbType.Char, 50);
cmd.Parameters[0].Value = name;
cmd.Parameters[1].Value = password;
cmd.Parameters[2].Value = type;
cmd.Parameters[3].Value = memo;
不仅不会出错,而且安全,不会被sql注入
已赞过
已踩过<
评论
收起
你对这个回答的评价是?
展开全部
日期,文本格式用单引号,数字格式不加单引号
已赞过
已踩过<
评论
收起
你对这个回答的评价是?
推荐律师服务:
若未解决您的问题,请您详细描述您的问题,通过百度律临进行免费专业咨询
