SqlConnection conn = new SqlConnection("server=.;database=test;uid=sa;pwd=123456;"); SqlCommand cmd

如果添加的内容包含有'的话,就会出错,有什么办法解决不SqlConnectionconn=newSqlConnection("server=.;database=test... 如果添加的内容包含有 ' 的话,就会出错,有什么办法解决不
SqlConnection conn = new SqlConnection("server=.;database=test;uid=sa;pwd=123456;");
SqlCommand cmd = new SqlCommand();
cmd.CommandType = System.Data.CommandType.Text;
cmd.CommandText = "INSERT Artricle VALUES ('" + biaoti + "','" + content + "','" + updatatime + "')";
cmd.Connection = conn;
conn.Open();
cmd.ExecuteNonQuery();
conn.Close();
展开
 我来答
maoxiaoling959
2011-10-25 · 超过39用户采纳过TA的回答
知道小有建树答主
回答量:78
采纳率:0%
帮助的人:96.3万
展开全部
数据库中出现单引是会导致SQL语句变样的。
content .Replace("\'","\"") ,你可以通过这个方法把单引号换成双引号~
追问
没有其他好一点的办法么,现在发现是出现单引号就出错,可能还会碰到其他字符出错,其他网站有这个问题么,有没有比较通用的处理办法,谢谢
追答
那就是楼下的办法。采用参数化的方式来进行数据插入,这样可以防止SQL注入攻击,而且不易出错。安全性高。
杭州企秀
2011-10-25 · TA获得超过1555个赞
知道小有建树答主
回答量:3857
采纳率:65%
帮助的人:505万
展开全部
朋友,最好还是用传参的形式,这种是最安全的,有什么问题,可联系我

SqlConnection conn = new SqlConnection("server=.;database=test;uid=sa;pwd=123456;");
SqlCommand cmd = new SqlCommand();
cmd.CommandType = System.Data.CommandType.Text;
cmd.CommandText = "INSERT Artricle VALUES (@biaoti ,@content ,@updatatime)'";
cmd.Parameters.Add("@biaoti",biaoti);
cmd.Parameters.Add("@content",content);
cmd.Parameters.Add("@updatatime",updatatime);
cmd.Connection = conn;
conn.Open();
cmd.ExecuteNonQuery();
conn.Close();
本回答被提问者和网友采纳
已赞过 已踩过<
你对这个回答的评价是?
评论 收起
推荐律师服务: 若未解决您的问题,请您详细描述您的问题,通过百度律临进行免费专业咨询

为你推荐:

下载百度知道APP,抢鲜体验
使用百度知道APP,立即抢鲜体验。你的手机镜头里或许有别人想知道的答案。
扫描二维码下载
×

类别

我们会通过消息、邮箱等方式尽快将举报结果通知您。

说明

0/200

提交
取消

辅 助

模 式