我试图调用从C#传递多个参数的存储过程,并不能得到它的工作。这是我到目前为止。
cmd = new SqlCommand();
cmd = dbConn.CreateCommand();
cmd.CommandText = "inserttoTable @size = " + size + ", @brand = " + brand + ", @manu = " + manu + ", @t= " + id.ToString();
cmd.ExecuteNonQuery();
大小,品牌和手工都是字符串。 inserttoTable是存储过程。
我收到以下错误:System.Data.SqlClient.SqlException: Incorrect syntax near the keyword 'TO'.
一方面,如果他们是字符串,你需要撇号surroud他们,但这个原因当变量有撇号时出现问题。您最好使用参数化查询,如上面我的评论中所示。 – LittleBobbyTables
这是可以SQL SQL注入攻击。请重新考虑使用参数化查询。 –
对我来说看起来不像一个人。类似的,是的,确切的重复,不。 –