我正在使用 Visual Studio 2008 和 SQL Server 2008。我试图从文本框值中给出表名,如下所示:
SqlCommand comm = new SqlCommand("select * from '"+Textbox1.Text+"'", conn);
但我没有得到任何结果。
请帮我。我在这里做错了什么?
问问题
129 次
2 回答
1
您将表名括在单引号中,您不应该这样做。但除此之外,您还容易受到SQL 注入攻击。永远不要使用字符串连接来构建 sql 语句。
如果您这样做,您的代码将起作用(但不要使用它):
SqlCommand comm = new SqlCommand("select * from "+Textbox1.Text+"", conn);
于 2013-08-16T16:32:57.413 回答
1
要回答问题:
在 Studio 中,您需要通过调用来执行命令
sqlConn.Open();
sqlcmd = new SqlCommand("SELECT * FROM " + Textbox1.text + "", sqlConn);
sqlcmd.ExecuteNonQuery();
sqlConn.Close();
但:
阅读 SQL 注入,这根本不安全。
于 2013-08-16T16:36:39.867 回答