有没有更简单的方法在下面的插入SQL命令中使用name和phone变量?
字符串插值是一种方法,但我不知道如何实现。
String name = textBox1.Text;
String phone = textBox2.Text;
var query = "insert into Customer_info(Customer_Name,Customer_Phone) " +
"values('" + name + "','" + phone + "');";
SqlCommand com = new SqlCommand(query,con);
try {
con.Open();
com.ExecuteNonQuery();
con.Close();
}
catch (Exception Ex) {
con.Close();
}
你真正应该做的是使用参数化查询,这样你的查询将如下所示:
var query = "insert into Customer_info(Customer_Name,Customer_Phone)" +
"values(@name, @phone);";
然后您将使用 SQLCommand 对象将参数传递给查询:
using (var command = new SqlCommand(query, connection))
{
command.Parameters.AddWithValue("@name", name);
command.Parameters.AddWithValue("@phone", phone);
command.ExecuteNonQuery();
}
name参数包含一些SQL语句,例如包含以下内容:
'; DROP TABLE [Customer_info]; --
那么您构造的SQL语句(如果phone参数为空)将会是这个样子:
insert into Customer_info(Customer_Name,Customer_Phone) values ('';
DROP TABLE [Customer_Info];
-- ','');
如果使用该代码连接到SQL的用户具有足够的权限,则可能会导致您的 Customer_Info 表被删除。
connection.Open(); 因为出现了错误。 - user9402741不要这样做!认真点,不要这样做。字符串插值不适合用于构建SQL。只需使用参数:
var query = @"
insert into Customer_info(Customer_Name,Customer_Phone)
values(@name,@phone);";
//...
cmd.Parameters.AddWithValue("name", name);
cmd.Parameters.AddWithValue("phone", phone);
cmd.ExecuteNonQuery();
您可以使用像dapper这样的库(它为您删除了所有混乱的ADO.NET代码,例如命令、参数和读取器):
conn.Execute(query, new { name, phone });
ex.Message;。 - user9402741try/catch:当我回答时,它们不在问题中;另外:你的 catch 吞噬了异常;此外,在这里很少需要 Close() 连接 - 更常见的是使用 using 来管理生命周期。请注意,关于 dapper 版本:dapper 实际上会正确处理连接的生命周期 - 如果在调用 Execute 时连接未打开,它将打开、执行并关闭等(如果最初已经打开,则不会关闭)。 - Marc Gravellvar query = $"insert into Customer_info(Customer_Name,Customer_Phone) values('{name}','{phone}');";
当然,你很容易受到SQL注入的攻击,需要避免!
使用SqlCommand.Parameters集合添加参数,可以使你免于此类攻击。