不要使用 拼接字符串的方法来使用 sql语句,特别是这种可以在 文本框中 输入 查询的值得时候 用 拼字符串的方法会出现 注入漏洞攻击。 正确的方法是 使用 参数化查询。
"insert into select_music (music_name) values ('"+TextBox1.Text+"')"
这个可以改成这样
Insert into Select_music(music_name) values(@music_name);
cmd.Parameters.Add(new SqlParameter("@music_name",TextBox1.Text)); |