你这样做当然累了,写个存贮过程不就行了. 如果用的次数少的话,你也可以在查询语句中添加变量:如下所示: sql ="select * from yourtable where name = '"& tuser.text & "' and pwd ='"& tpwd.text & "'"
在我的记忆中,如果是SQL用参数,应该写成 "select item, name, qty from demo where item = ?",
to: softrain(秋雨) 用参数尽管要多写几句,但是可以避免因为单引号和其他特殊符号带来的麻烦, 如果你的程序是 sql ="select * from yourtable where name = '"& tuser.text & "' and pwd ='"& tpwd.text & "'"那么如果口令是"a'",你的程序就宕掉了,如果口令是"' or 1=1",你的整个用户和口令表就被拿走了。
如果用的次数少的话,你也可以在查询语句中添加变量:如下所示:
sql ="select * from yourtable where name = '"& tuser.text & "' and pwd ='"& tpwd.text & "'"
"select item, name, qty from demo where item = ?",
用参数尽管要多写几句,但是可以避免因为单引号和其他特殊符号带来的麻烦,
如果你的程序是
sql ="select * from yourtable where name = '"& tuser.text & "' and pwd ='"& tpwd.text & "'"那么如果口令是"a'",你的程序就宕掉了,如果口令是"' or 1=1",你的整个用户和口令表就被拿走了。