在C#中通过主键查询,Handler要怎么写
1个回答
展开全部
select * from aaa where ID='"+ studID+"';
select * from aaa where ID=@ID
使用参数的话,那SqlCommand对象需要加参数对象,对象名为 @ID,
SqlCommand cmd = new SqlCommand();
cmd.Connection = cn;
cmd.CommandText = "select * from aaa where ID=@ID";
cmd.Parameters.AddWithValue("@ID", StudI);
select * from aaa where ID=@ID
使用参数的话,那SqlCommand对象需要加参数对象,对象名为 @ID,
SqlCommand cmd = new SqlCommand();
cmd.Connection = cn;
cmd.CommandText = "select * from aaa where ID=@ID";
cmd.Parameters.AddWithValue("@ID", StudI);
更多追问追答
追问
谢谢,我试试看,刚接触,不是很熟悉,很多都不懂用
追答
第一种硬拼字符,会有SQL注入风险。
建议使用第二种,参数化处理。
推荐律师服务:
若未解决您的问题,请您详细描述您的问题,通过百度律临进行免费专业咨询