String sql = String.Format("INSERT KKAct([title],[uid],[desc],type) Values(‘{0}‘,‘{1}‘,‘{2}‘,{3})", title, user,desc, 3); SqlCommand com = new SqlCommand(sql, con);
一般而言,把 一个单引号,替换成 两个单引号就可以了。
防止注入网上查了下用SqlParameter可以,那SqlParameter处理单引号时候是自动转义了吗
原文:http://www.cnblogs.com/ChineseMoonGod/p/5195050.html