SQL中单引号和双引号有什么用？ [复制]

Question

我将字符串或数字传递给 SQL 查询。

单引号和双引号内的单是什么意思？

select * from college where class = '"+txtclass.Text+"'

或

select * from college where class = '+txtclass.Text+'

Answer 1

您应该为 SqlCommand 使用参数。

这里有一个小例子说明如何做到这一点：

using (var con = new SqlConnection("conection string"))
{
    con.Open();
    using (var cmd = con.CreateCommand())
    {
        // Here is where we add the parameters into the Sql Query, this way it will prevent SQL Injection
        cmd.CommandText = "select * from college where class = @class";
        // Now we add the value to the parameter @class, I'm assuming here that the column class is a NVarchar
        cmd.Parameters.Add("@class", SqlDbType.NVarChar).Value = txtclass.Text;
        using (var dr = cmd.ExecuteReader())
        {
            while (dr.Read())
            {
                // Do some code
            }
            dr.Close();
        }
    }
}

这个例子是针对Sql的，但是MySql也可以这样，我们只需要使用MySql的类，其他的都一样

注意：我知道这并不能回答所提出的问题，但由于他的做法存在安全风险，我决定举一个简单的例子来提高安全性，因为答案是已经在cmets上给出了问题