第一种:
cmdTmp1.CommandText="INSERT INTO Medi_NSFBill (Message,TypeCode) VALUES (@p1,@p2)";
cmdTmp1.Parameters.Clear();
cmdTmp1.Parameters.Add(new SqlParameter("@p1",SqlDbType.VarChar,512));
cmdTmp1.Parameters["@p1"].Value=message;
cmdTmp1.Parameters.Add(new SqlParameter("@p2",SqlDbType.Int));
cmdTmp1.Parameters["@p2"].Value=2001;
cmdTmp1.ExecuteNonQuery();
cmdTmp1.Parameters.Clear();
第二种:
我喜欢用String.Format()
比如:String.Format("SELECT * FROM Table WHERE Name = {0}", sName);
其中Format有很大的漏洞,基本上象注入试攻击什么的都可以攻击。
浙公网安备 33010602011771号