C# Microsoft SQL server:使用'；s_C#_Sql Server_Syntax

C# Microsoft SQL server:使用'；s

c# sql-server syntax

C# Microsoft SQL server:使用'；s,c#,sql-server,syntax,C#,Sql Server,Syntax,我的问题是：我的一些数据在“otherName”列中有这样的内容，其中一些类似于“Mike的车”。 SQL server将在“'s”上出现错误，我不知道如何在代码上修复该错误谢谢你的阅读。很抱歉我的英语不好。您需要使用参数，这会让自己面临SQL注入攻击： string sql = "Insert Into mytable" + $" (Id, Name, otherName) Values" + $" ('{id}','{name}','{otherName}')";

我的问题是：我的一些数据在“otherName”列中有这样的内容，其中一些类似于“Mike的车”。 SQL server将在“'s”上出现错误，我不知道如何在代码上修复该错误

谢谢你的阅读。很抱歉我的英语不好。

您需要使用参数，这会让自己面临SQL注入攻击：

string sql = "Insert Into mytable" + $" (Id, Name, otherName) Values" + 
            $" ('{id}','{name}','{otherName}')";
using (SqlCommand cmd = new SqlCommand(sql, sqlConnection))
        {
            cmd.ExecuteNonQuery();
        }

您需要使用参数，这会使自己受到SQL注入攻击：

string sql = "Insert Into mytable" + $" (Id, Name, otherName) Values" + 
            $" ('{id}','{name}','{otherName}')";
using (SqlCommand cmd = new SqlCommand(sql, sqlConnection))
        {
            cmd.ExecuteNonQuery();
        }

不要用

Mike的车

试试

Mike的车

两个单引号。然而你必须使用参数化查询。可能重复感谢你的回复，但我正在做的是解析来自我无法控制的源的数据。所以，我需要弄清楚如何用代码解决这个问题。顺便问一下，如何用这种方式对它进行参数化？非常感谢，我很感激。不要用

迈克的车

试试

迈克的车

两个单引号。然而你必须使用参数化查询。可能重复感谢你的回复，但我正在做的是解析来自我无法控制的源的数据。所以，我需要弄清楚如何用代码解决这个问题。顺便问一下，如何以这种方式对其进行参数化？非常感谢，我很感激。我只是想补充一下这是正确答案的原因：参数知道如何正确处理（转义）值，使任何值都不会破坏SQL命令。非常感谢，我感谢您的帮助。我只是想补充一下这是正确答案的原因：参数知道如何正确处理（转义）值，使任何值都不会破坏SQL命令。非常感谢您，我感谢您的帮助。