我的代码如下'''','b','c'''。
Dim abc As String = "''a','b','c''"
sqlselect.Connection = con
sqlselect.CommandText = "insert into table1(Name1) values ('" & abc & "')"
它给出错误:
语法错误(缺少运算符)
在查询表达式
中答案 0 :(得分:4)
您使用参数化查询而非字符串连接
Dim a As String = "'a', 'b', 'c'"
sqlselect.Connection = con
sqlselect.CommandText = "insert into table1(Name1) values (@a)"
sqlselect.Parameters.AddWithValue("@a", a)
sqlselect.ExecuteNonQuery()
这假设您只有一列名为Name1。
参数化查询是唯一的方法,因为它们提供了对SQL Injections的保护,并帮助您处理字符串,日期,十进制数的解析