【发布时间】:2012-09-03 01:34:24
【问题描述】:
我的编码有什么问题?我无法向 ms sql 插入数据。我使用 C# 作为前端,使用 MS SQL 作为数据库...
name = tbName.Text;
userId = tbStaffId.Text;
idDepart = int.Parse(cbDepart.SelectedValue.ToString());
string saveStaff = "INSERT into tbl_staff (staffName,userID,idDepartment) " +
" VALUES ('" + name + "', '" + userId +"', '" + idDepart + "');";
SqlCommand querySaveStaff = new SqlCommand(saveStaff);
try
{
querySaveStaff.ExecuteNonQuery();
}
catch
{
//Error when save data
MessageBox.Show("Error to save on database");
openCon.Close();
Cursor = Cursors.Arrow;
}
【问题讨论】:
-
您在
tbStaffId文本框中输入的22', 1); DELETE FROM tbl_staff; --没有完全正确。完成此操作后,请阅读 SQL 注入。 -
感谢您的帮助..当我运行程序时,我得到了这个错误..“ExecuteNonQuery: Connection property has not been initialized.”
-
拜托,请参数化这个!
-
对不起......我是 C# 的新手......谁能解释一下,参数的功能是什么?
标签: c# sql sql-server