本文详细介绍了如何使用SQL语句进行数据库操作,包括插入、更新、查询等常见操作,并提供了一个实例演示如何通过字符串格式化和命令执行来实现特定的数据操作。
String sql = String.Format("INSERT KKAct([title],[uid],[desc],type) Values('{0}','{1}','{2}',{3})", title, user,desc, 3); SqlCommand com = new SqlCommand(sql, con);
一般而言,把 一个单引号,替换成 两个单引号就可以了。
防止注入网上查了下用SqlParameter可以,那SqlParameter处理单引号时候是自动转义了吗...
String sql = String.Format("INSERT KKAct([title],[uid],[desc],type) Values('{0}','{1}','{2}',{3})", title, user,desc, 3); SqlCommand com = new SqlCommand(sql, con);
一般而言,把 一个单引号,替换成 两个单引号就可以了。
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
扫一扫
