C# 将SQL文件从经典ASP包含到ASP.NET

当我使用经典ASP编写此C#应用程序时，我有一个包含文件，如下所示：

<%
string groupItemTable = "GroupCustomer"
string itemTable = "Customer"
string itemID = "CustomerID"
string itemColumn1 = "CustomerName"
string itemColumn2 = "CustomerAddress"
%>

---

ASP classic是一项1990年代的技术，自2000年起停止使用

更糟糕的是，您的代码将您暴露于SQL注入

除此之外，这不是来自.net framework的VB，而是VBscript

正如有人告诉您的，include很糟糕，模块化和重用代码和逻辑是一种混乱的方式

幸运的是，您已经迁移到ASP.NET，现在正在使用Visual Studio 2013

所以，帮你自己一个忙，忘记你写的那些危险的、令人毛骨悚然的代码，利用好工具VS2013，使用类和所有其他概念，以面向对象的方式编写你的项目

---

如果您要求以正确的方式查询数据库，可以使用ADO.NET，并确保使用参数化查询。

警告您的代码要求sql注入攻击！通过.NET代码访问数据库有很多不同的方法。正如Daniel指出的，直接将用户输入写入SQL语句是危险的，即使.NET控件清理用户输入（您还没有告诉我们这些参数是否来自.NET控件）。有从.NETSQL客户端到实体框架的各种选项，如果没有更多信息，很难说哪一个是最好的。

selectGroupsSQL = "SELECT " & itemTable & "." & itemID & "," & itemColumn1 & "," & itemColumn2 & " FROM " & itemTable & " inner join " & groupItemTable & " on " & groupItemTable & "." & itemID & " = " & itemTable & "." & itemID & "