在ADO.NET 中,通常要用到 SQL 语句作为用来新增 或者 修改记录,这是 SQL 语句中所需的数据如 INSERT 语句中的VALUES中的值通常来自控件或者页面中的值
常见的有如 insert into 表A (xxx,xxx,xxx) values( -----这是就用到了字符串的连接,把控件的值都当成字符串的一部分,把字符串拼接起来
如 string sql = " insert into 表A (xxx) values( " + this.txtbox.text + ")"
优点:直白,通俗
缺点 :安全性不高,容易被注入攻击
另一种方式 用参数的形式 ,看下面的例子
string sqlInsert = "insert into friendSiteInfo (SiteName,LinkUrl,LinkMan,Tel,Email)";
sqlInsert += "values(@SiteName,@LinkUrl,@LinkMan,@Tel,@Email)";
SqlParameter[] parameters = new SqlParameter[5];
parameters[0] = new SqlParameter("@SiteName", txtSiteName.Text);
parameters[1] = new SqlParameter("@LinkUrl", txtLinkurl.Text);
parameters[2] = new SqlParameter("@LinkMan",txtLinkman.Text);
parameters[3] = new SqlParameter("@Tel",txtTel.Text);
parameters[4] = new SqlParameter("@Email",txtEmail.Text);
SqlCommand.Parameters.Add(parameters );
然后再执行什么
的ExecuteNonQuery之类的方法。