這個SQL查詢有什麼問題？

-2

string country,city,viewers,pay,gender,name,title,details; 
DateTime d1=DateTime.Parse(tbdate.Text); 
country=ddlcompany.SelectedItem.Text; 
city=tbcity.Text; 
viewers =ddlviewers.SelectedItem.Text; 
pay=ddlpayment.SelectedItem.Text; 
gender=ddlsex.SelectedItem.Text; 
name=tbadname.Text; 
title=tbadtitle.Text; 
details=tbaddetails.Text; 


SqlCommand cmd = new SqlCommand 
("insert into ADVERTISEMENT 
Adv_Category,Country,City,Strat_Date,No_of_Viewers,Adv_Payment_Way, 
Viewers_Gender,Adv_Name,Adv_Title,Adv_Details) 
values('SMS',country,city,d1,viewers,pay,gender,name,title,details)", con);

來源

2011-04-17 semsema

1）什麼不起作用？ 2）你的問題是什麼？ 3）每個問題一個問號就足夠了。 – 2011-04-17 20:02:57

引號環繞 – shevski 2011-04-17 20:03:28

@shevski應該是一個答案，而不是評論。 – 2011-04-17 20:04:35

這裏是問題：

values('SMS',country,city,d1,viewers,pay,gender,name,title,details)

這將是更好地做到以下幾點：

values('SMS',@country,@city,@d1,@viewers,@pay,@gender,@name,@title,@details)

並傳遞參數給SqlCommand。

var param = new SqlParam("@country"); 
param.Value = country; 
cmd.Parameters.Add(param);

來源

2011-04-17 20:05:52 Oded

與你的代表我希望你已經聽說parametrisation .. ;-) – gbn 2011-04-17 20:08:10

即時通訊在你的web應用程序注入sql codez – 2011-04-17 20:10:48

@gbn，@Radek Pro-Grammer - 非常正確...太忙了試圖回答這個問題，忽視了明顯的。 – Oded 2011-04-17 20:16:08

這個SQL查詢有什麼問題？

回答

相關問題