【发布时间】:2019-09-09 17:40:59
【问题描述】:
这是正确的说法,如果不是请帮助我纠正它。
String query = "delete from favourite where username=" +
Session["username"].ToString() + "and id=" + id;
【问题讨论】:
-
不,这是不正确的。你需要use parameters。
-
始终使用参数化 sql 并避免字符串连接向 sql 语句添加值。请参阅 How can I add user-supplied input to an SQL statement? 和 Exploits of a Mom。
-
所以我必须使用 cmd,parameters.addwithvalue() 并在那里指定参数?
-
按照the accepted answer的指示;它不使用
AddWithValue,并明确表示不要使用它。 -
我使用了 AddWithValue() 方法并且它有效。谢谢大家!
标签: c# sql sql-delete sqlanywhere