SQL参数化(insert怎么用?)

xuyipeng 2010-04-02 03:22:43
SQL参数化,但用到Insert into table(name,sex) values (@name,@sex) 就出错,提示“输入字符串格式不正确”,不知道前面的语句写的对不丢,还请大家帮忙看看!!!
...全文
1031 27 打赏 收藏 转发到动态 举报
写回复
用AI写文章
27 条回复
切换为时间正序
请发表友善的回复…
发表回复
xuyipeng 2010-04-02
  • 打赏
  • 举报
 回复
谢谢大家帮助的,问题解决。
tkscascor 2010-04-02
  • 打赏
  • 举报
 回复
#22 放注入只能用存储过程???,
lz的sql参数化代码没有错, 你看传的值对不对, 比如数据格式跟你数据库的格式是否对应上~
jack15850798154 2010-04-02
  • 打赏
  • 举报
 回复
[Quote=引用楼主 xuyipeng 的回复:]
SQL参数化,但用到Insert into table(name,sex) values (@name,@sex) 就出错,提示“输入字符串格式不正确”,不知道前面的语句写的对不丢,还请大家帮忙看看!!!
[/Quote]

Insert into 表名(name,sex) values (@name,@sex) 这句话我执行过了语法没有错误,
是不是你的参数有问题啊。
参数赋值 在.cs 文件中用
cmd.Parameters.Add("@name", 参数);
来添加。不知道你是不是别的地方有错误
xuyipeng 2010-04-02
  • 打赏
  • 举报
 回复
存储过程+参数化
戒烟戒酒戒编程 2010-04-02
  • 打赏
  • 举报
 回复
[Quote=引用 11 楼 xuyipeng 的回复:]
部分代码:
string sql="insert into tblStuInfo (card,TestPro) values (@cardno,@testpro)";
SqlCommand cmd=new SqlCommand(sql,con);
cmd.Parameters.Add(new SqlParameter("@cardno",SqlDbType.NVarChar,50));
c……
[/Quote]

LZ这样写没有错 现在需要考虑的是你要添加的这两个字段的数据类型是否就是Nvacahr(50)
echo0808 2010-04-02
  • 打赏
  • 举报
 回复
防止注入我都是用存储过程写的
类视
using (SqlConnection conn = new SqlConnection(System.Configuration.ConfigurationManager.ConnectionStrings["HomeFeedDNS"].ConnectionString))
{
SqlCommand cmd = new SqlCommand("Home_User_Msg_Insert_p", conn);
cmd.CommandType = CommandType.StoredProcedure;
cmd.Parameters.Add(new SqlParameter("@UserId", userId));
cmd.Parameters.Add(new SqlParameter("@FeedType", FeedType));
cmd.Parameters.Add(new SqlParameter("@MsgContent", MsgContent));
cmd.Parameters.Add(new SqlParameter("@MsgId", SqlDbType.BigInt));
cmd.Parameters["@MsgId"].Direction = ParameterDirection.Output;
conn.Open();
cmd.ExecuteNonQuery();
return Convert.ToInt64(cmd.Parameters["@MsgId"].Value);
}
xuyipeng 2010-04-02
  • 打赏
  • 举报
 回复
为防止SQL注入,采用参数化,我不知道Insert 的时候有没有必要,还是直接
string sql="insert into tblStuInfo (card,TestPro) values (“+this.lbcard.Text.Trim()+”,“+testpro.Trim()+”)";
xuyipeng 2010-04-02
  • 打赏
  • 举报
 回复
commandType的值默认是 commandType.Text
xuyipeng 2010-04-02
  • 打赏
  • 举报
 回复
[Quote=引用 18 楼 echo0808 的回复:]
cmd.CommandType = CommandType.Text
这个你没有加吧
还有你确定你数据库表的这2个字段是nvarchar
[/Quote]

cmd.CommandType = CommandType.Text 这个是没有加
另外表里的这2字段就是nvarchar类型
echo0808 2010-04-02
  • 打赏
  • 举报
 回复
cmd.CommandType = CommandType.Text
这个你没有加吧
还有你确定你数据库表的这2个字段是nvarchar
xuyipeng 2010-04-02
  • 打赏
  • 举报
 回复
但就是想知道用参数写,到底错在哪里?
vip__888 2010-04-02
  • 打赏
  • 举报
 回复
最好使用sqlhelper这样的去做 很方便使用
xuyipeng 2010-04-02
  • 打赏
  • 举报
 回复
[Quote=引用 14 楼 echo0808 的回复:]

string sql="insert into tblStuInfo (card,TestPro) values (“+this.lbcard.Text.Trim()+”,“+testpro.Trim()+”)";
这样也可以吧
[/Quote]

这样写是没有问题的
echo0808 2010-04-02
  • 打赏
  • 举报
 回复

string sql="insert into tblStuInfo (card,TestPro) values (“+this.lbcard.Text.Trim()+”,“+testpro.Trim()+”)";
这样也可以吧
xuyipeng 2010-04-02
  • 打赏
  • 举报
 回复
cmd.Parameters.Add(new SqlParameter("@cardno",this.lbcard.text.Trim()));
是不是这个意思
echo0808 2010-04-02
  • 打赏
  • 举报
 回复
你这代码。。。。
不知道是小弟我技术不好。。总觉得很多行很多余
xuyipeng 2010-04-02
  • 打赏
  • 举报
 回复
部分代码:
string sql="insert into tblStuInfo (card,TestPro) values (@cardno,@testpro)";
SqlCommand cmd=new SqlCommand(sql,con);
cmd.Parameters.Add(new SqlParameter("@cardno",SqlDbType.NVarChar,50));
cmd.Parameters["@cardno"].Value=this.lbcard.Text.Trim();
cmd.Parameters.Add(new SqlParameter("@testpro",SqlDbType.NVarChar,50));
cmd.Parameters["@testpro"].Value=testpro.Trim();
if(Page.IsValid==true)
{
cmd.ExecuteNonQuery();
cmd.Dispose();
}
polarissky 2010-04-02
  • 打赏
  • 举报
 回复
楼主把调用的具体代码贴出来看看呐
itliyi 2010-04-02
  • 打赏
  • 举报
 回复
[Quote=引用 1 楼 echo0808 的回复:]
@name,@sex
这2个参数的类型和表里字段的类型是不是一样
[/Quote]同问
调试得到的数据到查询分析器里面执行下看看
xuyipeng 2010-04-02
  • 打赏
  • 举报
 回复
这样有区别吗?
[Quote=引用 3 楼 wennxxin 的回复:]
Insert into table(name,sex) values (@name,@sex)改为
Insert into table(name,sex) values(@name,@sex)
[/Quote]
加载更多回复(7)
SQLTest系列之参数化INSERT语句测试
场景引入 上文说书到“SQLTest系列之INSERT语句简单测试”,于是,菜鸟想深入了解:“在现实业务场景中,实际的表数据不可能是完全一样的。所以,我们需要完全模拟实际场景,如何将表数据完全参数化的方式来INSERT到表中呢?”。带着问题来研究SQLTest,问题快速的迎刃而解。 环境准备 随着研究的深入,菜鸟了解到SQLTest的强大,SQLTest...
Mybatis动态sql是做什么的?都有哪些动态sql?简述一下动态sql的执行原理?
1.Mybatis动态sql是做什么的?都有哪些动态sql?简述一下动态sql的执行原理? 1.动态SQL的概念 ​ 动态sql是指在进行sql操作的时候,传入的参数对象或者参数值,根据匹配的条件,有可能需要动态的去判断是否为空,循环,拼接等情况; 2.动态Sql的标签大致有以下几种 if 和 where 标签和include标签 ​ if标签中可以判断传入的值是否符合某种规则,比如是否不为空; ...
mysql参数化sql语句_教您使用参数化SQL语句
SQL语句的使用非常灵活,通过各种SQL语句,可以实现不同功能的操作,下面将为您介绍参数化SQL语句,供您参考,希望对您有所帮助。SQL注入的方法有两种:一是所有的SQL语句都存放在存储过程中,这样不但可以避免SQL注入,还能提高一些性能,并且存储过程可以由专门的数据库管理员(DBA)编写和集中管理,不过这种做法有时候针对相同的几个表有不同条件的查询,SQL语句可能不同,这样就会编写大量的存储过程...
mysql 参数化_MySQLsql参数化
奋斗的路上,时间总是过得很快,目前的困难和麻烦是很多,但是只要不忘初心,脚踏实地一步一步的朝着目标前进,最后的结局交给时间来定夺。周末了,我们来说说一下,sql语句的参数化问题,为了避免sql注入的问题,我们把sql语句进行参数化,来增加数据库的安全性。词穷,先看看code吧!from MySQLdb import *'''sql数据参数化就是为了防止sql注入的'''#连接数据库coon =...
mysql sql语句 参数化_参数化SQL语句
避免SQL注入的方法有两种:一是所有的SQL语句都存放在存储过程中,这样不但可以避免SQL注入,还能提高一些性能,并且存储过程可以由专门的数据库管理员(DBA)编写和集中管理,不过这种做法有时候针对相同的几个表有不同条件的查询,SQL语句可能不同,这样就会编写大量的存储过程,所以有人提出了第二种方案:参数化SQL语句。例如我们在本篇中创建的表UserInfo中查找所有女性用户,那么通常情况下我们的...
.NET社区

62,047

社区成员

669,049

社区内容

发帖
与我相关
我的任务
社区描述
.NET技术交流专区
javascript云原生 企业社区
社区管理员
  • ASP.NET
  • .Net开发者社区
  • R小R
加入社区
  • 近7日
  • 近30日
  • 至今

加载中

查看更多榜单
社区公告

.NET 社区是一个围绕开源 .NET 的开放、热情、创新、包容的技术社区。社区致力于为广大 .NET 爱好者提供一个良好的知识共享、协同互助的 .NET 技术交流环境。我们尊重不同意见,支持健康理性的辩论和互动,反对歧视和攻击。

希望和大家一起共同营造一个活跃、友好的社区氛围。

试试用AI创作助手写篇文章吧

+ 用AI写文章