| ■No12497 (ミントチョコ さん) に返信
>>DBにSQLを渡すのは、SQL文である文字列を渡すことを念頭においてください。
>
> このような感じになるのでしょうか。
> string strSqlTxt = "INSERT INTO ALBUM(pKey,title,artist,maker,price) VALUES(" + strPkey + "," + strTitle + "," + strArtist + "," + strMaker + "," + strPrice+ ")";
MySQLがうまく処理してくれるかはわからないけれど、文字列入れるならば「'」でくくった方がいいでしょう。
また、画面からの入力値をそのままSQL文の文字列に入れてしまっては、例えば、「,」や「'」なんかを入れられたときにエラーになります。
Parameters使えるならこのあたりは気にしなくていいけれど、上記のような感じでSQL文を組み立てるならば問題ない形式に(例えば、
「'」だったら「''」にするなど)変換してから組み立てるか、入力できないようにガードするかなどが必要です。 |