如何将变量添加到我的SQL字符串中并成功地在服务器上运行它?我想通过我的C#运行这个声明#在SQL字符串中使用变量
protected void RunSQLQuery(string salesman, string connectionString)
{
SqlConnection cnn;
SqlCommand cmd;
StringBuilder sql = new StringBuilder();
SqlDataReader reader;
cnn = new SqlConnection(connectionString);
sql = new StringBuilder();
sql.Append("update database ");
sql.Append("set shippdate = GetDate() ");
sql.Append("where salesman = "' + salesman + "'");
sql.Append("and managerapproval is not null ");
cnn.Open();
cmd = new SqlCommand(sql.ToString(), cnn);
reader = cmd.ExecuteReader();
reader.Close();
cmd.Dispose();
cnn.Close
}
这提出了多个编译错误强调我+推销员+代码。的错误是:
只有转让,电话,递增,递减和新对象 表达式可以作为一份声明中
;预计
)性格预期
字符太多面值换行符在不断
哪里有人学习这个废话。 – Phill
#1 - 这是不好的。连接会为您打开SQL注入攻击。查找SQL参数化。 #2 - 您的报价按错误顺序排列:'salesman =''+ salesman' should''salesman ='“+ salesman' –