我在ASP.NET中创建一个ListView,并基于CodeProject here给出的示例。我想使SqlDataSource的Select命令成为动态的,以便从会话提供的值生成一个值。我试过不同的可能性,这里是我想要的一个例子:如何将值传递给SqlDataSource查询?
<asp:SqlDataSource ID="SqlDataSource1" runat="server"
ConnectionString="<%$ ConnectionStrings:TestDatabaseConnectionString %>"
SelectCommand="SELECT * FROM [Contacts] WHERE [Name] = <%# Eval("value") %> " >
</asp:SqlDataSource>
我怎么会传递这样的值使用ASP?我也尝试在C#的后台页面中创建查询,并链接到它,如SelectCommand = "<%# Eval("Query") %>"
以及使用@value
语法。既不工作!
这是不好的。它打开你的查询,直到一个SQL注入攻击。切勿直接替换SQL查询中的变量,而不要先清理它们。 – user1437891
正如我所说,不是正确的做法,也不会导致问题,如果您已经在更换前已经验证了值 –