下面一段HTML怎么Insert不到数据库中去,用什么函数能让任意HTML不管有没有特殊字符和数据库冲突的字符都能够任意提交

insert into table1(content) values(@content)

解决方案 »

  1.   

    楼主应该是使用的T-SQL拼接的方式生成SQL语句.这个不是个好习惯, 使用参数化吧
      

  2.   


    这种方式我知道,但是很麻烦,我现在用的是(用哈希表简易提交)    /// <summary>
        /// 简化Insert  向指定表中插入一行数据  (重载) 
        /// </summary>
        /// <param name="tableName">表名</param>
        /// <param name="cols">哈希表字段和值</param>
        /// <returns></returns>
        public string Insertstr(string tableName, Hashtable cols)
        {
            int num = 0;
            string strFileds = "(";
            string strValues = "(";
            //添加字段名和值
            foreach (DictionaryEntry item in cols)
            {
                if (num == 0)
                {
                    strFileds += item.Key.ToString();
                    strValues += "'" + item.Value.ToString() + "'";
                }
                else
                {
                    strFileds += "," + item.Key.ToString();
                    strValues += ",'" + item.Value.ToString() + "'";
                }            num++;
            }
            strFileds += ")";
            strValues += ");";        string strSql = "insert into " + tableName + strFileds + "values" + strValues;
            return SQLHelper.ExecSQL(strSql);
        }
      

  3.   

    而且我这是Access数据库,参数化那种方式不一定能用
      

  4.   

    只是小小的企业网站,用的Access数据库,挂在美国服务器上的,填的都是英文和繁体,没有中文
      

  5.   


    可以用的我这种方式就没有办法了吗,主要是要节约更多时间,这种方式比那种快10倍不止,那时太麻烦了,每个都要定义和指定,这种小企业站不需要那么严谨的将要提交的内容编码后再入库吧,如:HttpUtility.HtmlEncode("内容")
      

  6.   


    可以用的我这种方式就没有办法了吗,主要是要节约更多时间,这种方式比那种快10倍不止,那时太麻烦了,每个都要定义和指定,这种小企业站不需要那么严谨的将要提交的内容编码后再入库吧,如:HttpUtility.HtmlEncode("内容")
    没得用