作者horngsh (要公理要正义)
看板C_Sharp
标题Re: [问题] 有关於C#里面的时间
时间Fri Dec 29 06:24:18 2006
※ 引述《keanekiri (<<kiri>>)》之铭言:
: private void paperupdate_Click(object sender, EventArgs e)
: {
: string connStr, insertCmd, datedate;
: datedate = DateTime.Today;
: connStr = "Provider=Microsoft.Jet.OLEDB.4.0;
: DataSource=CIIEconfrence1.mdb";
: insertCmd = "Insert Into paper_info(category, title, date,
: keyword, content) Values( '" + upcategory.Text + "',
: '" + uptitle.Text + "','" + datedate.Text + "',
: '" + upkeyword.Text + "','" + upabstract.Text + "')";
尽量不要用这种字串串接式的写法, 这样写法容易有SQL Injection的问题, 在.Net
中是建议大家多用Parameter的方式来做, 如下:
string strTmp = "Insert into table1 (field1, field2, field3) values(@field1,
@field2, @field3)"
OdbcCommand odbcCmd = new OdbcCommand(strTmp, odbcConn);
odbcCmd.Parameters.Add("@field1", OdbcType.VarChar, 50).Value = "value1";
odbcCmd.Parameters.Add("@field2", OdbcType.VarChar, 50).Value = "value2";
odbcCmd.Parameters.Add("@field3", OdbcType.VarChar, 50).Value = "value3";
其中的OdbcType.VarChar是您DB栏位的DATA TYPE, 50是其长度(几个字元),
仅供参考
--
※ 发信站: 批踢踢实业坊(ptt.cc)
◆ From: 220.131.140.50
1F:推 tomex:Parameters.Add(paramName, value)即可,不用加型别及长度 12/29 13:57
2F:推 ithinkurdumb:2.0应该是AddWithValue 12/31 16:20