我的应用程序中有文本框。在这些文本框中输入的数据将被插入到数据库中。commandString 只接受字符串类型。那么,如何实现插入语句呢?
string cmdString="INSERT INTO books (name,author,price) VALUES (//what to put in here?)"
我需要为每个值加入 cmdString 和 textBox.Text 还是有更好的选择?
问问题
53715 次
2 回答
28
使用Command和Parameter防止SQL Injection
// other codes
string cmdString="INSERT INTO books (name,author,price) VALUES (@val1, @va2, @val3)";
using (SqlCommand comm = new SqlCommand())
{
comm.CommandString = cmdString;
comm.Parameters.AddWithValue("@val1", txtbox1.Text);
comm.Parameters.AddWithValue("@val2", txtbox2.Text);
comm.Parameters.AddWithValue("@val3", txtbox3.Text);
// other codes.
}
完整代码:
string cmdString="INSERT INTO books (name,author,price) VALUES (@val1, @va2, @val3)";
string connString = "your connection string";
using (SqlConnection conn = new SqlConnection(connString))
{
using (SqlCommand comm = new SqlCommand())
{
comm.Connection = conn;
comm.CommandString = cmdString;
comm.Parameters.AddWithValue("@val1", txtbox1.Text);
comm.Parameters.AddWithValue("@val2", txtbox2.Text);
comm.Parameters.AddWithValue("@val3", txtbox3.Text);
try
{
conn.Open();
comm.ExecuteNonQuery();
}
Catch(SqlException e)
{
// do something with the exception
// don't hide it
}
}
}
于 2012-12-22T07:48:45.943 回答
1
您想保护自己免受 SQL 注入。从字符串构建 sql 是一种不错的做法,至少非常可怕。
如何:防止 ASP.NET 中的 SQL 注入 http://msdn.microsoft.com/en-us/library/ff648339.aspx
注入 sql 的 50 种方法 http://www.youtube.com/watch?v=5pSsLnNJIa4
于 2012-12-22T07:53:44.080 回答