那些遇到过的问题

c#中的字符串组合

Mei*_*eir 3 .net c# string string-concatenation

我试图弄清楚为什么这个代码在C#中不起作用以及如何解决它.

string first = "hello";
string second = "look at" + first + "me";
Run Code Online (Sandbox Code Playgroud)

有什么建议?

编辑:对不起,我认为我犯的错误是一个简单的新手错误.我想还有更多.这是我的实际代码:

 string toolOp = lstToolOpen.SelectedValue.ToString();
 string sqlComm = "INSERT INTO ES_TOOL_FACET (esfa_facet, esfa_tool) values (" +
            + toolOp + ", " +  cmbFacet.SelectedValue +"   ) ";
Run Code Online (Sandbox Code Playgroud)

我得到的错误是:Operator +不能应用于'string'类型的操作数.第3行代码中的toolOp下面有一条红线.

Dar*_*rov 15

你有两个+toolOp.它应该是:

string sqlComm = "INSERT INTO ES_TOOL_FACET (esfa_facet, esfa_tool) values (" +
        toolOp + ", " +  cmbFacet.SelectedValue +"   ) ";
Run Code Online (Sandbox Code Playgroud)

这就是说我建议你使用参数化查询.请记住,每次+在构造SQL查询时使用运算符都是错误的:

string sqlComm = "INSERT INTO ES_TOOL_FACET (esfa_facet, esfa_tool) VALUES (@esfa_facet, @esfa_tool)";
sqlCommand.Parameters.AddWithValue("@esfa_facet", toolOp);
sqlCommand.Parameters.AddWithValue("@esfa_tool", cmbFacet.SelectedValue);
Run Code Online (Sandbox Code Playgroud)

现在您可以安全地防止SQL注入.

结论:永远不要使用+SQL查询.

  • @Darin @cdhowie:从来没有,我使用`+`和SQL查询...当我想给别人一个sql注入的例子并告诉他们不要使用它. (3认同)

归档时间:

查看次数:

649 次

最近记录:

15 年,2 月 前
相关归档
Visual Studio 2013.您没有足够的权限访问计算机上的IIS网站 55
测试Gui-heavy WPF应用程序 30
新的SQLite混合程序集 26
如何更改安装项目中的窗口Applicatoin的默认图标 21
使用.net中的SmtpClient发送邮件 21
.NET中的类型自动生成的GUID是否一致? 21
PowerShell是什么类型的语言? 18
如何使用DBXJSON使用转义/特殊字符将字符串转换为JSON和从JSON转换? 14
如何在C#中删除String的最后一个char? 12
char + int 给出了意想不到的结果 1
难疑归档
正则表达式匹配不包含单词的行? 4121
如何将空目录添加到Git存储库? 4039
在JavaScript中循环遍历数组 2940
如何创建一个像链接一样的HTML按钮? 1769
根据pandas中列的值从DataFrame中选择行 1649
什么是未定义的引用/未解析的外部符号错误,我该如何解决? 1418
使用react路由器以编程方式导航 1251
我是否提交了由npm 5创建的package-lock.json文件? 1164
获取对象类型的名称 1159
查找包含具有指定名称的列的所有表 - MS SQL Server 1090