用sqlcommand参数化查询,如何把数据写入datatable
日期:2014-05-17 浏览次数:20446 次
用sqlcommand参数化查询,怎么把数据写入datatable ?
这是原来的代码,听说会被注入攻击
于是改成用sqlcommand,请问这个怎么能够写入datatable
------解决方案--------------------
Refer this:
http://www.cnblogs.com/insus/archive/2012/09/22/2698515.html
------解决方案--------------------
这是原来的代码,听说会被注入攻击
string sql1 = "select * from article where time="+param+"";
SqlDataAdapter sda1 = new SqlDataAdapter(sql1, conn);
DataSet ds1 = new DataSet();
sda1.Fill(ds1);
DataTable dt1 = ds1.Tables[0];
于是改成用sqlcommand,请问这个怎么能够写入datatable
SqlCommand sc = new SqlCommand("select * from article where time=@p");
sc.Connection = conn;
sc.Parameters.AddWithValue("p","'"+param+"'");
DataTable dt1 = ds1.Tables[0];
sqlcommand
参数化查询
datatable
------解决方案--------------------
Refer this:
http://www.cnblogs.com/insus/archive/2012/09/22/2698515.html
------解决方案--------------------
DataSet ds = new DataSet();
SqlCommand sc = new SqlCommand("select * from article where time=@p");
sc.Connection = conn;
sc.Parameters.AddWithValue("@p", "'" + param + "'");
SqlDataAdapter sda = new SqlDataAdapter(sc);
sda.Fill(ds);
免责声明: 本文仅代表作者个人观点,与爱易网无关。其原创性以及文中陈述文字和内容未经本站证实,对本文以及其中全部或者部分内容、文字的真实性、完整性、及时性本站不作任何保证或承诺,请读者仅作参考,并请自行核实相关内容。
