李洪根先生原话”如果你只是为了添加,可以用:cn.execute "insert into booktable1(number,name,addres) value ('" & Text1.Text & "','" & Text2.Text & "','" & Text3.Text & "')" 如果你还要从表中读取记录集,一般打开Rs,再Rs.addnew 当然,最终都是转换成sql insert语句。 另外,Rs.addnew 比较严谨,但是开销比insert into 大,因为要返回Rs到客户端。 Rs.addnew 不会受恶意攻击,自己拼凑sql语句易受恶意攻击“ 本人对李先生这句话有点不明白,拼凑SQL语句易受恶意攻击?受什么攻击?请大家踊跃指教
实际上进行addnew,update等操作是ado的一种黑箱技术如果大家使用过ado.net就很明白了在ado.net中是自己书写更新的command比如我们使用update方法提交一条记录实际上在ado中是定义了一个command对象进行操作的表结构 id name textsql="update 表 set id=?,name=?,text=? where id=? and name =? and text=?在ado中是把这个东西封装了所以说使用ado的update方法和使用sql语句是一样的但是使用sql语句更加灵活,你可以有选择性的进行数据的更新也可以根据自己的条件进行改变!!
编号 姓名
001 aaaa
002 bbbb
003 cccc
如果我要同时修改001,aaaa 时,即编号和姓名同时修改时,使用sql的update语句必须提供一个条件,可这个唯一的条件以什么指定呢,因此,不得不在表中增加一个id号,做为唯一条件,各位大哥有什么办法能解决该问题吗
应尽量少用recordset
vb中用SQL
本人对李先生这句话有点不明白,拼凑SQL语句易受恶意攻击?受什么攻击?请大家踊跃指教