62,074
社区成员
发帖
与我相关
我的任务
分享关于《》
"insert into context values("+"'"+this.DropDownList1.SelectedValue+"',"+"'"+this.TextBox1.Text+"',"+"'"+this.TextBox2.Text+"',"+"getdate())";
插入字符串中如果含有<script>..</script>等标记时候,插入也会异常,
请问大家怎么避免这样的异常
插入字符串中如果含有<script>..</script>等标记时候,插入也会异常,
请问大家怎么避免这样的异常
...全文
请发表友善的回复…
发表回复
heyidan 2006-05-31
- 打赏
- 举报
使用sqlcommand里的参数即可,他把什么东西都封装在参数里面了,没有问题的,连单引号这些特殊字符都没有问题
sqlcommand comm = new sqlcommand();
comm.paremeters.add("@parteter1",你要的类型);
comm.paremeters["@parteter1"].value="任何都行";
comm.commandtext="insert into xxx values(@parteter1)";
comm.executenonquery();
哈哈,执行一切OK
sqlcommand comm = new sqlcommand();
comm.paremeters.add("@parteter1",你要的类型);
comm.paremeters["@parteter1"].value="任何都行";
comm.commandtext="insert into xxx values(@parteter1)";
comm.executenonquery();
哈哈,执行一切OK
Eddie005 2006-05-31
- 打赏
- 举报
用此方法写sql语句并不好,最好还是用标准的参数方法来处理
当然,解决也不难,问题是在单引号,替换掉就行了(换成两个连续的单引号)
string sql = "insert into table1 (id,name) values(1,'"+TextBox1.Text.Replace("'","''")+"')";
当然,解决也不难,问题是在单引号,替换掉就行了(换成两个连续的单引号)
string sql = "insert into table1 (id,name) values(1,'"+TextBox1.Text.Replace("'","''")+"')";
真相重于对错 2006-05-31
- 打赏
- 举报
ValidateRequest = false
