我在做
string sql = "select * from publisher where title like "'"+tbproperty.text+";
但它不起作用!
问候..
用途SqlParameter:
SqlCommand cmd = new SqlCommand("select * from publisher where title like @title");
cmd.Parameters.AddWithValue("@title", tbProperty.Text);
如果需要向参数添加更多内容,请执行以下操作(例如:输出参数):
SqlParameter param = new SqlParameter("@param ", SqlDbType.NVarChar, 250) { Direction = ParameterDirection.Output };
cmd.Parameters.Add(param);
这意味着您不需要构建字符串本身并停止SQL注入.