今天听了新员工培训的讲座,讲了一些软件开发的整个流程,其中有一个关于sql数据库的问题如下:
在一个textbox控件中输入文本进行数据库操作操作,如数据库插入有三种方式:
1):insertstr = insert into base_table (id,name,age) values '";
insertstr += this.id.Trim() + "','";
insertstr += this.name.Trim() +"','";
insertstr += this.age.Trim() +"')";
2):string strSql = "insert into base_table (id,name,age) values(id,name,age)";
SqlCommand myCommand = new SqlCommand(strSql , myConn)
try
{
myCommand.Parameters.Add(new SqlParameters("20052404" , "myj" , 20));
...
}
catch(...)
{
}
3):编写存储过程实现;
第一种方式不仅效率低下,而且不安全容易,当输入单引号时就会报错;
第二种方式可以避免受到攻击,但是效率有待提高;
第三种方式可以在安全的前提下提高效率。