我想在我的C#代码中添加一个简单的select语句。示例如下。 fname中类似y的值来自一个参数。
//从myTable中选择lname,其中fname ='y'
这就是我在做什么。我显然正在获得Sql Exception。我该如何纠正?谢谢。
string strOrdersOrigSQL = "SELECT LastName FROM Employees";
// Concatenate the default SQL statement with the "Where" clause and add an OrderBy clause
strOrdersSQL = strOrdersOrigSQL + "where FirstName ="+ 'strFname';
最佳答案
但这可以做到
string strOrdersOrigSQL = "SELECT LastName FROM Employees";
// Concatenate the default SQL statement with the "Where" clause and add an OrderBy clause
strOrdersSQL = strOrdersOrigSQL + " where FirstName ='"+ strFname + "'";
这不是正确的方法,因为它可能会受到SQL注入的影响。请改用参数化查询。