我的代码如下'''a','b','c'''。
Dim abc As String = "''a','b','c''"
sqlselect.Connection = con
sqlselect.CommandText = "insert into table1(Name1) values ('" & abc & "')"
它给出了错误:
语法错误(缺少运算符)
在查询表达式中
问问题
955 次
1 回答
4
您使用参数化查询而不是字符串连接
Dim a As String = "'a', 'b', 'c'"
sqlselect.Connection = con
sqlselect.CommandText = "insert into table1(Name1) values (@a)"
sqlselect.Parameters.AddWithValue("@a", a)
sqlselect.ExecuteNonQuery()
这假设您只有一列名为Name1.
参数化查询是唯一可行的方法,因为它们提供针对SQL 注入的保护并帮助您处理字符串、日期、十进制数的解析
于 2013-02-13T09:24:49.840 回答