Sql server 如何使用记录集将网页(表单)字段值插入SQL Server
我在一个网站上工作,该网站有一个网页/表格,用户将在该网页/表格上向字段中输入典型的客户数据。 我只想单击“插入”按钮,将字段中的数据插入数据库。 具体而言,我需要知道/理解如何引用每个字段中的数据 网页中的字段名:Sql server 如何使用记录集将网页(表单)字段值插入SQL Server,sql-server,insert,webpage,recordset,Sql Server,Insert,Webpage,Recordset,我在一个网站上工作,该网站有一个网页/表格,用户将在该网页/表格上向字段中输入典型的客户数据。 我只想单击“插入”按钮,将字段中的数据插入数据库。 具体而言,我需要知道/理解如何引用每个字段中的数据 网页中的字段名: -客户编号 -客户名称 -客户名称 -客户地址 -卡斯特城市 -CustState -奶油冻 我对代码可能是什么样子的想法: Protected Sub butSave_Click(ByVal sender As Object, ByVal e As System.EventArg
-客户编号
-客户名称
-客户名称
-客户地址
-卡斯特城市
-CustState
-奶油冻 我对代码可能是什么样子的想法:
Protected Sub butSave_Click(ByVal sender As Object, ByVal e As System.EventArgs) Handles butInsert.Click
Dim connCust As New ADODB.Connection
Dim reCust As new ADODB.REcordset
Dim strSQL As String
strSQL = "Insert Into CustomerDB (IDNum, FName, LName, Addr, City, State, Zip)
strSQL = strSQL & "Values (CustIDNumber, CustFName, CustLName, CustAddr, CustCity, CustState, CustZip)
rsCUST = Server.CreateObject("ADODB.Recordset")
rsCUST.Open(sql, cnnWDBS)
rsCUST = cnnWDBS.Execute(strSQL)
rsCust.Close
End Sub
我可能会将此代码嵌入到Try/Catch
块中。
我走对了吗?我是否正确引用了网页字段?
还有什么我应该检查或做的吗
提前感谢,
Rich编辑:不要这样做。听下面的丹·古兹曼或上面的肖恩·兰格 这看起来应该行得通。您需要重新格式化字符串以正确连接所有变量
strSQL = "Insert Into CustomerDB (IDNum, FName, LName, Addr, City, State, Zip) "
strSQL = strSQL & "Values ("& CustIDNumber & ", " & CustFName & "," &...& ")"
对于这类事情,您需要使用参数化查询,甚至更好的存储过程。您的代码很容易受到sql注入攻击。永远不要直接执行来自webform的数据。Sean对参数化查询的建议是+1。如果这是ASP.NET,请使用SqlClient而不是ADODB。这将更好地执行并提供更丰富的编程模型。千万不要通过连接来自不受信任源的值来构建SQL Server语句字符串。相反,应该使用参数化查询,这有很多好处。验证数据的实践对于数据完整性来说是一个好主意,但对于安全性来说则不然。参数化查询完全阻止SQL Server中的注入(在存储过程中禁止动态SQL)。其他好处包括计划重用、无需转义字符、避免使用日期格式、小数分隔符等。