ADO.NET 中 SQL 语句的拼接_ado插入 sql拼接-CSDN博客

本文链接：https://blog.csdn.net/zhangc_brave/article/details/20403675

在ADO.NET 中，通常要用到 SQL 语句作为用来新增或者修改记录，这是 SQL 语句中所需的数据如 INSERT 语句中的VALUES中的值通常来自控件或者页面中的值

常见的有如 insert into 表A (xxx,xxx,xxx) values( -----这是就用到了字符串的连接，把控件的值都当成字符串的一部分，把字符串拼接起来

如 string sql = " insert into 表A (xxx) values( " + this.txtbox.text + ")"

优点：直白，通俗

缺点：安全性不高，容易被注入攻击

另一种方式用参数的形式，看下面的例子

	string sqlInsert = "insert into friendSiteInfo (SiteName,LinkUrl,LinkMan,Tel,Email)";
        sqlInsert += "values(@SiteName,@LinkUrl,@LinkMan,@Tel,@Email)";
        SqlParameter[] parameters = new SqlParameter[5];
        parameters[0] = new SqlParameter("@SiteName", txtSiteName.Text);
        parameters[1] = new SqlParameter("@LinkUrl", txtLinkurl.Text);
        parameters[2] = new SqlParameter("@LinkMan",txtLinkman.Text);
        parameters[3] = new SqlParameter("@Tel",txtTel.Text);
        parameters[4] = new SqlParameter("@Email",txtEmail.Text);
	SqlCommand.Parameters.Add(parameters );