UC知道帮我看看这个调用存储过程的代码,对的吧
来源:百度知道 编辑:UC知道 时间:2024/06/21 18:22:20
SqlCommand cmd = new SqlCommand("proc_insertjiating", conn);
cmd.CommandType = CommandType.StoredProcedure;
cmd.Parameters.AddWithValue("@jiatingname", "" + TextBox3.Text + "");
cmd.Parameters.AddWithValue("@mima", "" + TextBox4.Text + "");
cmd.Parameters.AddWithValue("@youxiang", "" + TextBox6.Text + "");
cmd.Parameters.AddWithValue("@dianhua", "" + TextBox7.Text + "");
cmd.Parameters.AddWithValue("@denglushijian", "" + DateTime.Now + "");
cmd.ExecuteNonQuery();
cmd.CommandType = CommandType.StoredProcedure;
cmd.Parameters.AddWithValue("@jiatingname", "" + TextBox3.Text + "");
cmd.Parameters.AddWithValue("@mima", "" + TextBox4.Text + "");
cmd.Parameters.AddWithValue("@youxiang", "" + TextBox6.Text + "");
cmd.Parameters.AddWithValue("@dianhua", "" + TextBox7.Text + "");
cmd.Parameters.AddWithValue("@denglushijian", "" + DateTime.Now + "");
cmd.ExecuteNonQuery();
cmd.Parameters.AddWithValue("@jiatingname", "" + TextBox3.Text + "");
你在前后加上一个空的字符串是干嘛?
cmd.Parameters.AddWithValue("@jiatingname", TextBox3.Text );
不就可以了??
使用参数化查询,不用考虑SQL注入的。