C#执行带变量的insert数据库语句

strsql=string.Format("insertintoQuestionvalues('{0}','{1}','{2}','{3}','{4}','{5}','{... strsql = string.Format("insert into Question values('{0}','{1}','{2}','{3}','{4}','{5}','{6}','{7}','{8}')", i, Question.Text, Answer.Text, j, QuizHelper.subjectId, A.Text, B.Text, C.Text, D.Text);
请问C#里这条语句有语法问题吗?功能是向表Question中添加一条完整的问题,其他的select和update都可以执行,谢谢。
展开
 我来答
百度网友81d58d4
2015-06-05 · TA获得超过388个赞
知道小有建树答主
回答量:247
采纳率:100%
帮助的人:173万
展开全部
这么写语法完全没问题,不过有注入风险。
这里【QuizHelper.subjectId】不知道是不是数字,是的话对应的{n}应当没引号。insert into后最好把对应的列名写上。

INSERT INTO [Events]
([EName]
,[MID]
,[PType])
VALUES
({0}
,{1}
,{2}
本回答被提问者和网友采纳
已赞过 已踩过<
你对这个回答的评价是?
评论 收起
匿名用户
2015-06-05
展开全部
我觉得最好Question 后面加上字段,与后面的值对应,这样要规范一点,针对这string.Format这个,以及拼接是没有问题的
已赞过 已踩过<
你对这个回答的评价是?
评论 收起
推荐律师服务: 若未解决您的问题,请您详细描述您的问题,通过百度律临进行免费专业咨询

为你推荐:

下载百度知道APP,抢鲜体验
使用百度知道APP,立即抢鲜体验。你的手机镜头里或许有别人想知道的答案。
扫描二维码下载
×

类别

我们会通过消息、邮箱等方式尽快将举报结果通知您。

说明

0/200

提交
取消

辅 助

模 式