string sql="select * from news @where"; SqlParameter[] parameter ={
new SqlParameter("@where",SqlDbType.NVarChar,255),
};
parameter[0].Value = " where title like '%aa%' ";
这句咋写啊。 主要是防止传来的where不安全
new SqlParameter("@where",SqlDbType.NVarChar,255),
};
parameter[0].Value = " where title like '%aa%' ";
这句咋写啊。 主要是防止传来的where不安全
解决方案 »
- 想请各位帮忙分析一个URL
- csdn论坛左侧高度设置问题
- C#如何删除xml里的一部分内容,然后添加一部分内容,在线等啊
- 快让这个未在本地计算机上注册“Microsoft.ACE.OLEDB.12.0”提供程序给搞死了,求解决办法,急求!!!!!!
- 将网页上的内容保存为excel的一些疑问
- 跪求一条sql语句,大家来帮忙
- 请大家说说asp.net结合xml可以做些什么?目前asp.net做什么需要应用到xml?
- 读取文件与读取数据库的速度比较。。
- dx中GridControl如何选中多行?
- 这个Webconfig里面的设置都是什么意思?
- 【提问】VS 08 如何新建空白的解决方案
- form表单验证admin文件夹...
parameter[0].Value = " where title like '%" + xx + "%' ";
不能这么写的,C#里正确的写法:string sql="select * from news " + @where + "" ;
new SqlParameter("@t",SqlDbType.NVarChar,255),
};
parameter[0].Value = "";
因为传递的参数中已经有了where部分 “where title like '%aa%'” 所以该如何构造呢