Sql server 如何使用记录集将网页（表单）字段值插入SQL Server_Sql Server_Insert_Webpage_Recordset

Sql server 如何使用记录集将网页（表单）字段值插入SQL Server

sql-server

Sql server 如何使用记录集将网页（表单）字段值插入SQL Server,sql-server,insert,webpage,recordset,Sql Server,Insert,Webpage,Recordset,我在一个网站上工作，该网站有一个网页/表格，用户将在该网页/表格上向字段中输入典型的客户数据。我只想单击“插入”按钮，将字段中的数据插入数据库。具体而言，我需要知道/理解如何引用每个字段中的数据网页中的字段名： -客户编号 -客户名称 -客户名称 -客户地址 -卡斯特城市 -CustState -奶油冻我对代码可能是什么样子的想法： Protected Sub butSave_Click(ByVal sender As Object, ByVal e As System.EventArg

我在一个网站上工作，该网站有一个网页/表格，用户将在该网页/表格上向字段中输入典型的客户数据。我只想单击“插入”按钮，将字段中的数据插入数据库。具体而言，我需要知道/理解如何引用每个字段中的数据

网页中的字段名：
-客户编号
-客户名称
-客户名称
-客户地址
-卡斯特城市
-CustState
-奶油冻

我对代码可能是什么样子的想法：

Protected Sub butSave_Click(ByVal sender As Object, ByVal e As System.EventArgs) Handles butInsert.Click
 Dim connCust As New ADODB.Connection
 Dim reCust As new ADODB.REcordset
 Dim strSQL As String

 strSQL = "Insert Into CustomerDB (IDNum, FName, LName, Addr, City, State, Zip)
 strSQL = strSQL & "Values (CustIDNumber, CustFName, CustLName, CustAddr, CustCity, CustState, CustZip)

rsCUST = Server.CreateObject("ADODB.Recordset")
rsCUST.Open(sql, cnnWDBS)
rsCUST = cnnWDBS.Execute(strSQL)
rsCust.Close

End Sub

我可能会将此代码嵌入到

Try/Catch

块中。我走对了吗？我是否正确引用了网页字段？还有什么我应该检查或做的吗

提前感谢,

Rich

编辑：不要这样做。听下面的丹·古兹曼或上面的肖恩·兰格

这看起来应该行得通。您需要重新格式化字符串以正确连接所有变量

strSQL = "Insert Into CustomerDB (IDNum, FName, LName, Addr, City, State, Zip) "
strSQL = strSQL & "Values ("& CustIDNumber & ", " & CustFName & "," &...& ")"

对于这类事情，您需要使用参数化查询，甚至更好的存储过程。您的代码很容易受到sql注入攻击。永远不要直接执行来自webform的数据。Sean对参数化查询的建议是+1。如果这是ASP.NET，请使用SqlClient而不是ADODB。这将更好地执行并提供更丰富的编程模型。千万不要通过连接来自不受信任源的值来构建SQL Server语句字符串。相反，应该使用参数化查询，这有很多好处。验证数据的实践对于数据完整性来说是一个好主意，但对于安全性来说则不然。参数化查询完全阻止SQL Server中的注入（在存储过程中禁止动态SQL）。其他好处包括计划重用、无需转义字符、避免使用日期格式、小数分隔符等。