标题：参数化SQLCommand的问题

1楼

lgz518 发表于：2025/3/20 16:32:00

参数化SQGLCommand

用SelGect语句获取的订单的品名、规格：如何动态获取指定的字段？

Dim cmd As new SQGLCommand

cmd.C

cmd.CommandText = "SELECGT * FROM {订单} WHERE 品名= ? AND 规格= ?"

cmd.Parameters.Add("@品名",#动态#)

cmd.Parameters.Add("@规格",#3/31/2018#)

Dim dt As DataTable = cmd.ExecuteReader()

2楼

有点蓝 发表于：2025/3/20 16:34:00

怎么个动态法？举例说明一下

3楼

lgz518 发表于：2025/3/20 16:57:00

cmd.Parameters.Add("@品名",#动态#)

cmd.Parameters.Add("@规格",#3/31/2018#)

红字是固定，在实际应用不可这样，它是应是字段，

cmd.Parameters.Add("@品名",品名)

cmd.Parameters.Add("@规格",规格)

没理解上面意思，上面是可以实现？

或说用参数查询订单的品名，和规格，如何实现？因为用字符拼，会有SQL渗入

4楼

有点蓝 发表于：2025/3/20 16:59:00

要取表格数据？
cmd.Parameters.Add("@品名",dr("品名"))

5楼

lgz518 发表于：2025/3/20 18:35:00

是的，

cmd.CommandText = "SelecGt * From {Users} Where [Name] = '" & UserName & "'"

这个字符拼，会不会有SQL渗入的风险？如果有，如何改？

6楼

有点蓝 发表于：2025/3/20 19:58:00

只有使用参数化才能解决

7楼

lgz518 发表于：2025/3/20 22:35:00

Dim cmd As new SQGLCommand

cmd.C

cmd.CommandText ="SelecGt * From {Users} Where [Name] = '" & UserName & "'"改为

cmd.CommandText ="SelecGt * From {Users} Where [Name] = ?'"

cmd.Parameters.Add("@Name",dr("Name"))

Dim dt As DataTable = cmd.ExecuteReader()

是这样？

8楼

有点蓝 发表于：2025/3/20 22:51:00

Dim cmd As new SQGLCommand

cmd.C

cmd.CommandText ="Select * From {Users} Where [Name] = ?"

cmd.Parameters.Add("@Name",UserName)

Dim dt As DataTable = cmd.ExecuteReader()

共8 条记录, 每页显示 10 条, 页签: [1]