-
本版专家分:0结帖率 100% -
在我的C#中有以下的几句代码,其中items[5]的值是这样的符号 R #X!P'P。
string text1 = string.Format("{0}\t{1}\t{2}\t{3}", inputDate,items[1], items[3], items[5]);
comm.CommandText = "insert into AAA(InputDate,Xuhao,miaoshu,jieguo) VALUES('" + inputDate + "','"+items[1]+"','" + items[3]
+ "','" + items[5] + "')";
comm.ExecuteNonQuery();
当运行到这里的时候就会提示如下错误
哪个朋友给帮忙解决一下,在此感谢。![]()
-
版主本版专家分:113695
-
- 签到新秀 累计签到获取,不积跬步,无以至千里,继续坚持!
-
- GitHub 绑定GitHub第三方账户获取
-
- 领英 绑定领英第三方账户获取
-
- 榜眼 2017年 总版技术专家分年内排行榜第二
-
-
用参数形式,不要这种拼接的,这种的存在sql注入,很容易让人攻击
-
本版专家分:0
-
谢谢指点,我是刚刚学习,能给具体写一下吗?
-
版主本版专家分:54804
-
- 榜眼 2018年总版新获得的技术专家分排名第二
-
-
金牌
2018年10月 总版技术专家分月排行榜第一
2018年9月 总版技术专家分月排行榜第一
2018年8月 总版技术专家分月排行榜第一
-
-
银牌
2018年12月 总版技术专家分月排行榜第二
2018年11月 总版技术专家分月排行榜第二
2018年7月 总版技术专家分月排行榜第二
-
- 铜牌 2019年1月 总版技术专家分月排行榜第三
-
-
写了一个基础的,但非常标准的示例, 你按这个去改就可以了:
using System;
using System.Data.SqlClient;
namespace ConsoleApp8
{
class Program
{
static void Main(string[] args)
{
//连接串,你自己根据实际的改
string connString = @"Data Source=.\sqlserver2014;Initial Catalog=MvcDemo;User ID=dev";
string[] items = { "0","1","2","3","4","5","6","7" };
string sql = "insert into AAA(InputDate,Xuhao,miaoshu,jieguo) VALUES(@InputDate, @Xuhao, @miaoshu, @jieguo)";
SqlParameter[] spArr = new SqlParameter[]
{
new SqlParameter("@InputDate", DateTime.Now),
new SqlParameter("@Xuhao", items[1]),
new SqlParameter("@Xuhao", items[3]),
new SqlParameter("@Xuhao", items[5]),
};
try
{
using (SqlConnection conn = new SqlConnection(connString))
{
conn.Open();
SqlCommand cmd = new SqlCommand(sql, conn);
cmd.Parameters.AddRange(spArr);
cmd.ExecuteNonQuery();
}
}
catch (Exception ex)
{
Console.WriteLine(ex.Message);
}
Console.Read();
}
}
}
-
本版专家分:0
-
万分感谢啦,马上学习