sql2005 select语句,sqlcommand语句和存储结构

  今天听了新员工培训的讲座,讲了一些软件开发的整个流程,其中有一个关于sql数据库的问题如下:

  在一个textbox控件中输入文本进行数据库操作操作,如数据库插入有三种方式:

  1):insertstr = insert into base_table (id,name,age) values '";

 


  insertstr += this.id.Trim() + "','";
  insertstr += this.name.Trim() +"','";
  insertstr += this.age.Trim() +"')";

  2):string strSql = "insert into base_table (id,name,age) values(id,name,age)";

  SqlCommand myCommand = new SqlCommand(strSql , myConn)
  try
  {
    myCommand.Parameters.Add(new SqlParameters("20052404" , "myj" , 20));
    ...
  }
  catch(...)

  {

  }

  3):编写存储过程实现;

  第一种方式不仅效率低下,而且不安全容易,当输入单引号时就会报错;

  第二种方式可以避免受到攻击,但是效率有待提高;

  第三种方式可以在安全的前提下提高效率。

posted on 2010-09-28 10:32  paulma  阅读(526)  评论(0编辑  收藏  举报

Powered by: 博客园 Copyright © 2024 paulma
Powered by .NET 9.0 on Kubernetes