SQLHelper sqhlpr = new SQLHelper();
sqhlpr.SqlText = "Select StudentName from tblStudentInfo where class=" + NurseryButton.Text;
DataTable dt = sqhlpr.getDataTable(false);
這是我code.Now sqhlpr.sqlText的結果是如何在asp中的sql helper的sql語句中使用單撇號顯示列名的值。淨
select StudentName from tblStudentInfo where class= **Nursery**
(ieNurseryButton.Text =幼兒園),但我想要的結果是從tblStudentInfo其中類=「選擇StudentName苗圃'。如何做到這一點?這看起來很簡單,但我不能只是想出來......
我對這個SqlHelper類不太瞭解,除了你在這裏得到的答案之外,你可能還想了解SQL注入攻擊(這是你的代碼易受攻擊的地方)。 http://colinmackay.co.uk/2005/04/23/sql-injection-attacks-and-some-tips-on-how-to-prevent-them/如果SQLHelper類支持參數化查詢(它真的應該)然後使用它們而不是將數據注入查詢。 – 2013-03-12 15:11:29
您發現的幾乎*任何*數據訪問庫都應該支持*參數*。然後,您可以將此值作爲SQL的參數,而不是手動組裝字符串。這有一個好處,就是你不可能在你的程序中創建一個SQL注入漏洞。如果你的庫(不熟悉'SQLHelper')*不支持參數,這是一個信號庫的標誌。 – 2013-03-12 15:11:36