3 
SqlConnection cn = new SqlConnection("server=localhost;initial catalog=newmits;trusted_connection=true");
cn.Open();
string a = string.Format("select * from upnotice where show like '{0}' ,%t");
SqlDataAdapter adp1 = new SqlDataAdapter(a, cn);
DataSet ds1 = new DataSet(); 
adp1.Fill(ds1);
GridView1.DataSource = ds1;
GridView1.DataBind();

当我在没有 where 条件的情况下尝试但在哪里不起作用时,请帮助我

4

1 回答 1

7

我假设这个

string a = string.Format("select * from upnotice where show like '{0}' ,%t");

应该

string a = string.Format("select * from upnotice where show like '{0}'","%t");

每个格式项(例如{0}{1})都需要有一个相应的参数。

但是,您不应该使用string.Formatsql-parameters 来防止 sql-injection

于 2013-09-05T14:46:22.427 回答