C# 如何使用其他表单值(addwithvalue)将数据插入SQL Server
我有以下代码:C# 如何使用其他表单值(addwithvalue)将数据插入SQL Server,c#,sql-server,C#,Sql Server,我有以下代码: con.Open(); SqlCommand cmd = new SqlCommand("INSERT INTO fiscal(itemcode, itemname, price) SELECT itemcode, itemname, price FROM inventorymaster WHERE itemcode = '" + textBox1.Text + "'", con); cmd.Parameters.AddWithValue("@use
con.Open();
SqlCommand cmd = new SqlCommand("INSERT INTO fiscal(itemcode, itemname, price)
SELECT itemcode, itemname, price FROM inventorymaster
WHERE itemcode = '" + textBox1.Text + "'", con);
cmd.Parameters.AddWithValue("@username", label1.Text);
cmd.ExecuteNonQuery();
con.close();
为什么这个代码不起作用?实际上它没有插入我的
label1.Text代码>您缺少了一个“,”也很容易受到SQL注入的攻击。谢谢您,先生。我应该将“?”放在哪里?您在SQL语句中的任何地方都没有使用您的@username
参数!这段代码应该如何插入您在SQL中没有使用的内容?!??!?(1) 您的代码对SQL注入非常开放。(2) 您试图将标签的文本添加为参数,而不是实际的用户输入元素。(3) SQL查询没有参数,为什么要添加参数?(尽管如此,请参见上面的第(1)项了解原因。)您可能还需要查询变量“插入财政(itemcode,itemname,price)的另一个参数。从inventorymaster中选择itemcode,itemname,price,其中itemcode=@icode”
,然后添加另一个cmd.Parameters.AddWithValue(@icode,textBox1.Text)代码>。您似乎根本没有使用@username参数。