Question

我有一个名为Customer的类，其字符串字段为name。

我想将此字段保存到数据库中，我尝试这样做：

string command = "insert into Customer values ('customer.name')";

（Customer customer）

问题是保存到数据库中的值是customer.name，而不是“名称”字段中保存的值。

Answer 1

你在字符串连接中犯了一个错误。您可以更新您的查询，如下所示（注意：此方法可以导致SQL Injection）：

string comand = "insert into Customer values ('"+ customer.name +"')";

我的建议：

使用参数化查询，如下所示：

string connectionString = "You connection string";

    using (SqlConnection connection = new SqlConnection(connectionString))
    {
        connection.Open();
        //
        // Description of SQL command:
        // @CustomerName must be added as a new SqlParameter.
        //
        using (SqlCommand command = new SqlCommand("insert into Customer values (@CustomerName)", connection))
        {
             //
             // Add new SqlParameter to the command.
             //
             command.Parameters.Add(new SqlParameter("@CustomerName", customer.Name));

             //Execute your query
             command.ExecuteNonQuery();

        }
        connection.Close();
    }

将字段添加到我的数据库

1 个答案: