代码:
Database db = DatabaseFactory.CreateDatabase();
string sql1 = "select ShortNum_ZG_List from CENTREX_LIST where WACID='" + Request.QueryString["wacid"] + "' and Centrex='" + Request.QueryString["id"] + "'";
Label4.Text = (string)db.ExecuteScalar(CommandType.Text, sql1);
但是这样会有SQL注入漏洞,如何添加参数?先谢啦!!
(类似于: comm.Parameters.Add("@id", SqlDbType.VarChar).Value = Request.QueryString["id"];)
Database db = DatabaseFactory.CreateDatabase();
string sql1 = "select ShortNum_ZG_List from CENTREX_LIST where WACID='" + Request.QueryString["wacid"] + "' and Centrex='" + Request.QueryString["id"] + "'";
Label4.Text = (string)db.ExecuteScalar(CommandType.Text, sql1);
但是这样会有SQL注入漏洞,如何添加参数?先谢啦!!
(类似于: comm.Parameters.Add("@id", SqlDbType.VarChar).Value = Request.QueryString["id"];)
解决方案 »
- gridview 中哪里能找到 rowcommand ? 如何使用?
- 能不能用JS 让AjaxControlToolkit-TabContainer 切换面板
- 一个很简单的页面加载问题!
- 急!如何程序动态控制CSS属性
- asp.net不配置IIS的情况下,实现伪静态
- 关于web程序简繁体转换的问题。。。
- 怎样用程序方式 控制radiobuttonlist的默认选择项啊 ?
- 压力测试
- <input>和<Button>中的怪现象,求解惑?
- 各位朋友,给我一点提示吧,已经是第二贴了!关于水晶报表,我已经搜过不少文章了,可...
- 哪里有比较好的asp.net2.0 cms?
- 水手求救,GridView加列问题。。。
{
DbCommand dbc = database.GetStoredProcCommand(SP_INSERT); database.AddOutParameter(dbc, "OLBATCHID", DbType.Int32, 4);
database.AddInParameter(dbc, "IUSERID", DbType.Int32, lutb.USERID);
database.AddInParameter(dbc, "ICREATEDATE", DbType.DateTime, lutb.CREATEDATE);
database.AddInParameter(dbc, "IBATCHNAME", DbType.String, lutb.BATCHNAME);
database.AddInParameter(dbc, "ISTATUS", DbType.Int32, lutb.STATUS); int result = database.ExecuteNonQuery(dbc,dbtran); lutb.LBATCHID = (int)database.GetParameterValue(dbc, "OLBATCHID"); return result;
}
问题搞定了,谢谢。