思路： 　　1、想想插入语句，大概是这样的一个框架:INSERT INTO 表名 (数据库列名) values (值) 　　2、这里要3个变量是不固定的，分别是：表名、数据库列名、值； 　　　　a.表名我们这里很容易可以获取到 　　　　b.数据库列名，我们可以遍历容器获取控件的Name属性 ...

...

　　今天下午同事问我一个比较基础的问题，在拼接sql语句的时候，如果遇到Like的情况该怎么办。 　　我原来的写法就是简单的拼接字符串，后来同事问我如果遇到sql注入怎么办。我想了下，这确实是个问题。 　　刚在网上找了下相关的说明，原来是这样写的。 　　如这样一个sql语句 ...

以下是学习笔记： 一，常用的sql语句写法 1，直接写入的 对于非值类型，两边各加一个单引号（'） 【例1】 int Id =1; string Name="lui"; cmd.CommandText ...

　　前面先单引，再双引；变量放中间，+号放左右；后面与前面配对，先双引，再单引。 如下： ' "+变量+" ' 例： 写法1: 写法2: ...

...

一、拼接字符串类型的字段 string sql = @"select distinct ziduan from tablename where ziduan in ('{0}')"; sql=string.Format(sql, string.Join("','", list.ToArray ...

一、拼接字符串类型的字段 string sql = @"select distinct ziduan from tablename where ziduan in ('{0}')"; sql=string.Format(sql, string.Join("','", list.ToArray ...