c#insert into,该如何解决

c#insert into
我要插入整数和字符串怎么写？
 string commandLine = "insert into " + source + "(" + parameter + ")" + " value("+ value +")";
            SqlCommand comm = new SqlCommand(commandLine);
可以把value全部变成string传入吗？？
[解决办法]

引用:

Quote: 引用:

Quote: 引用:

Quote: 引用:

我要插入整数和字符串怎么写？
 string commandLine = "insert into " + source + "(" + parameter + ")" + " value("+ value +")";
            SqlCommand comm = new SqlCommand(commandLine);
可以把value全部变成string传入吗？？

假设你的表列为id int,name varchar,age int
你要确保
parameter的值为aa,bb,cc
value的值为'1,'小明',18'

上面的parameter写错了 应为id,name,age

我parameter是传值进来的

知道啊 所以我让你确保你传进来的值是我写的这种类型的啊。你调试看下 传过来的值是不是我写的格式。是应该是OK的。
[解决办法]
建议用参数化方式传参，否则会有SQl注入风险,例如

cmd.CommandText="insert into " + source + "(" + parameter + ")" + " value(@param1,@param2)";
cmd.Parameters.Clear();  
cmd.Parameters.Add(new SqlParameter("@param1",SqlDbType.VarChar,10){Value="test"});  
cmd.Parameters.Add(new SqlParameter("@param2",SqlDbType.Int){Value=5});  
cmd.ExecuteNonQuery();

查看更多 下一篇