在SQL命令中调用的ASP.NET参数(代码隐藏)

时间:2011-10-25 09:03:25

标签: c# asp.net sql

如何在sql命令中调用asp参数 exp:

cmd.CommandText = "SELECT name FROM server WHERE code="+TextBox1.Text;

是对的吗?

1 个答案:

答案 0 :(得分:6)

(尝试并且未能抑制颤抖) 

 cmd.CommandText =  "SELECT name FROM server WHERE code=@code";
 cmd.Parameters.AddWithValue("code", TextBox1.Text);

否则,您刚刚接受SQL注入。

永远不要将用户输入加入命令

相关问题
最新问题