SqlCommand cmd = new SqlCommand("select * from WARE where warename='" + TextBox1.Text + "'", conn);
//SqlCommand cmd = new SqlCommand("jian", conn);
//cmd.CommandType = CommandType.StoredProcedure; //cmd.Parameters.AddWithValue("a", TextBox1.Text);后面注释的三句话是如何做到防止SQL注入的呢?
//SqlCommand cmd = new SqlCommand("jian", conn);
//cmd.CommandType = CommandType.StoredProcedure; //cmd.Parameters.AddWithValue("a", TextBox1.Text);后面注释的三句话是如何做到防止SQL注入的呢?
解决方案 »
- 关于三层架构中model层APP.CONFIG的问题
- 如何为access数据库字段修改字段类型为自动编号,字段大小为同步复制ID?
- C#中panel 双击问题
- vs C# 2010 Chart应用
- 通过DataSource=dt绑定的datagridview如何设置combox列
- WinForm 窗体中 信息如果没有保存,则不允许操作其他模块
- 哈希编码转换
- Winform 消息提醒框
- 怎么用c#做一个安装程序!!
- CS0246: 找不到类型或命名空间名称“container”(是否缺少 using 指令或程序集引用?)
- 如何使一个List<T>数组可以在不同方法、类里操作访问?
- C#中所需命名空间已导入,但其中的类还是人不出来
SqlParameter parms = New SqlParameter("@pname",TextBox1.Text);
cmd.Parameters.Add(parms);
cmd = new SqlCommand("select * from WARE where warename =@pname", conn)