我有一个执行SqlCommand并将结果返回给winforms应用程序的方法。 我的方法是这样的:在EXEC sp_setapprole中处理SqlParameter中的单引号?
public bool ApplyRoles(string roleApp, string roleAppPassword)
{
Command = new SqlCommand("EXEC sp_setapprole @roleApp, @rolePassword", Connection);
AssignParam("roleApp", roleApp, SqlDbType.VarChar);
AssignParam("rolePassword", roleAppPassword, SqlDbType.VarChar);
bool ret = Command.ExecuteNonQuery() == -1;
return ret;
}
和AssignParam
方法是这样的:
public void AssignParam(string name, object value, SqlDbType type)
{
var parameter = new SqlParameter(name, type)
{
Value = value ?? DBNull.Value
};
Command.Parameters.Add(parameter);
}
现在,这ApplyRoles
方法抛出异常:Application roles can only be activated at the ad hoc level.
,但如果我改变ApplyRoles
这样:
public bool ApplyRoles(string roleApp, string roleAppPassword)
{
Command = new SqlCommand(string.Format("EXEC sp_setapprole '{0}', '{1}'", roleApp, roleAppPassword), Connection);
bool ret = Command.ExecuteNonQuery() == -1;
return ret;
}
该方法工作正常..所以我猜这个问题是在AssignParam
方法。 问题是什么?我不想使用“工作”方法,因为我可以有SQL注入。
我没有看到错误,但为什么不使用正常的方法调用proc?退出'EXEC'的东西。 – usr
你的意思是'新的SqlCommand(“sp_setapprole”,连接)'?但是当我设置'AssignParam'方法时.NET如何识别'@ roleApp'和'@ rolePassword'? –
你必须设置'CommandType.StoredProcedure'。查看我的答案,下面是你的根本问题。 –