1,首先在datatable.select中使用模糊查询like运算符中一些符号需要转义或者替换(而正常字符串在sql中就能执行),例如:
like‘%xxx*’后边出现了 * 需要改为[*],因为sql会误认为这个*是一个占位符,编译时候就会出错
2,datatable.select语句中你需要插入或者更新的字符串中有一些符号或者关键字都需要这样修改,例如:
'.','_','[',‘%'等需要加上'[]',有一个点就是如果字符串中存在 ’ ’ ‘ 单引号需要改为 ' '' '双引号(或者两个单引号),在插入更新数据时候就不会报异常
3,当然sql中也有类似的情况,如果你选择了参数化sqlparameter方式,就不需要做这些操作,这种方式有效的避免了sql注入