这是一个基本的汽车租赁应用程序,但我对其进行了简化。想想看,表中只有两个变量:
rentID: int
carID: int
当我在 SQL Server 上执行此操作时,此方法有效:
UPDATE tblCars SET rentID=15 where carID=4
这是 C# 版本。这一行完全适用于一些基本命令。但是因为这有很多 " 和 ' 它以某种方式不起作用?我在这里做错了什么?
SqlCommand cmd = new SqlCommand("update tblCars SET rentID= '" + Convert.ToInt32(rentID) +"'where carID='" + Convert.ToInt32(carID) + "'", con);
我建议您参数化您的 SQL 以避免诸如 SQL 注入之类的事情:
using (SqlCommand cmd = new SqlCommand("UPDATE tblCars SET rentID=@rentId WHERE carID=@carId;", con))
{
cmd.Parameters.AddWithValue("@rentId", Convert.ToInt32(rentID));
cmd.Parameters.AddWithValue("@carId", Convert.ToInt32(carId));
cmd.ExecuteNonQuery();
}
本文收集自互联网,转载请注明来源。
如有侵权,请联系 [email protected] 删除。
我来说两句