17,741
社区成员
发帖
与我相关
我的任务
分享SqlServer2008与asp.net使用中的一些问题
废话不多说 代码:
int[] CountID = {5,7,8,9,10};
1.
SqlCommand comm = new SqlCommand("select * from xxbb where OrderID in {@Value}",conn); //OrderID 为BigInt类型
comm.Parameters.Add(new SqlParameter("@Value", SqlDbType.?????)); // 这里的类型怎么写?
comm.Parameters["@Value"].Value = CountID;
comm.ExecuteReader(); //报错了
2.
把 int[] CountID = {5,7,8,9,10}; 改成 String CountID = "5,7,8,9,10";
SqlCommand comm = new SqlCommand("select * from xxbb where OrderID in {@Value}",conn); //OrderID 为BigInt类型
comm.Parameters.Add(new SqlParameter("@Value", SqlDbType.VarChar)); // 这里的类型怎么写?
comm.Parameters["@Value"].Value = CountID;
comm.ExecuteReader(); //报错! 类型转失败 无法将String 转换为int
int[] CountID = {5,7,8,9,10};
1.
SqlCommand comm = new SqlCommand("select * from xxbb where OrderID in {@Value}",conn); //OrderID 为BigInt类型
comm.Parameters.Add(new SqlParameter("@Value", SqlDbType.?????)); // 这里的类型怎么写?
comm.Parameters["@Value"].Value = CountID;
comm.ExecuteReader(); //报错了
2.
把 int[] CountID = {5,7,8,9,10}; 改成 String CountID = "5,7,8,9,10";
SqlCommand comm = new SqlCommand("select * from xxbb where OrderID in {@Value}",conn); //OrderID 为BigInt类型
comm.Parameters.Add(new SqlParameter("@Value", SqlDbType.VarChar)); // 这里的类型怎么写?
comm.Parameters["@Value"].Value = CountID;
comm.ExecuteReader(); //报错! 类型转失败 无法将String 转换为int
...全文
请发表友善的回复…
发表回复
q107770540 2010-07-12
- 打赏
- 举报
[Quote=引用 5 楼 zh383603842 的回复:]
引用 4 楼 q107770540 的回复:
引用 3 楼 zh383603842 的回复:
1 楼我震惊了 。。。。。。。。。。我不想被人Sql注入啊。。。。。。。。
3L我震惊了,1楼的我怎么被sql注入?我可是在外边包了单引号,单引号外又包了括号
我汗 我测试了
还是
select * from tb_OrderInfo where Orde……
[/Quote]
你不会还保留着这两句吧???
comm.Parameters.Add(new SqlParameter("@Value", SqlDbType.VarChar));
comm.Parameters["@Value"].Value = CountID;
引用 4 楼 q107770540 的回复:
引用 3 楼 zh383603842 的回复:
1 楼我震惊了 。。。。。。。。。。我不想被人Sql注入啊。。。。。。。。
3L我震惊了,1楼的我怎么被sql注入?我可是在外边包了单引号,单引号外又包了括号
我汗 我测试了
还是
select * from tb_OrderInfo where Orde……
[/Quote]
你不会还保留着这两句吧???
comm.Parameters.Add(new SqlParameter("@Value", SqlDbType.VarChar));
comm.Parameters["@Value"].Value = CountID;
永远的小鱼 2010-07-12
- 打赏
- 举报
[Quote=引用 4 楼 q107770540 的回复:]
引用 3 楼 zh383603842 的回复:
1 楼我震惊了 。。。。。。。。。。我不想被人Sql注入啊。。。。。。。。
3L我震惊了,1楼的我怎么被sql注入?我可是在外边包了单引号,单引号外又包了括号
[/Quote]
我汗 我测试了
还是
select * from tb_OrderInfo where OrderID in ('5,7,8,9,10');
消息 8114,级别 16,状态 5,第 1 行
从数据类型 varchar 转换为 bigint 时出错。
引用 3 楼 zh383603842 的回复:
1 楼我震惊了 。。。。。。。。。。我不想被人Sql注入啊。。。。。。。。
3L我震惊了,1楼的我怎么被sql注入?我可是在外边包了单引号,单引号外又包了括号
[/Quote]
我汗 我测试了
还是
select * from tb_OrderInfo where OrderID in ('5,7,8,9,10');
消息 8114,级别 16,状态 5,第 1 行
从数据类型 varchar 转换为 bigint 时出错。
q107770540 2010-07-12
- 打赏
- 举报
[Quote=引用 3 楼 zh383603842 的回复:]
1 楼我震惊了 。。。。。。。。。。我不想被人Sql注入啊。。。。。。。。
[/Quote]
3L我震惊了,1楼的我怎么被sql注入?我可是在外边包了单引号,单引号外又包了括号
1 楼我震惊了 。。。。。。。。。。我不想被人Sql注入啊。。。。。。。。
[/Quote]
3L我震惊了,1楼的我怎么被sql注入?我可是在外边包了单引号,单引号外又包了括号
永远的小鱼 2010-07-12
- 打赏
- 举报
1 楼我震惊了 。。。。。。。。。。我不想被人Sql注入啊。。。。。。。。
lds1ove 2010-07-12
- 打赏
- 举报
sff
q107770540 2010-07-12
- 打赏
- 举报
String CountID = "5,7,8,9,10";
SqlCommand comm = new SqlCommand("select * from xxbb where OrderID in ('"+CountID +"')",conn);
SqlCommand comm = new SqlCommand("select * from xxbb where OrderID in ('"+CountID +"')",conn);
