如何在sql命令中调用asp参数 exp:
cmd.CommandText = "SELECT name FROM server WHERE code="+TextBox1.Text;
是对的吗?
答案 0 :(得分:6)
(尝试并且未能抑制颤抖)
cmd.CommandText = "SELECT name FROM server WHERE code=@code";
cmd.Parameters.AddWithValue("code", TextBox1.Text);
否则,您刚刚接受SQL注入。