OriginalGriff
Просто передайте данные в виде массива байтов с помощью параметризованного запроса:
<pre> Using con As New SqlConnection(strConnect)
con.Open()
Using com As New SqlCommand("INSERT INTO myTable (myColumn1, myColumn2) VALUES (@C1, @C2)", con)
com.Parameters.AddWithValue("@C1", myValueForColumn1)
com.Parameters.AddWithValue("@C2", myArrayOfData)
com.ExecuteNonQuery()
End Using
End Using
atheos20
Проблема заключается в том, что таблица, в которую я пытаюсь вставить уже существующие столбцы. В настоящее время я использую другой файл класса для sql-кодов и передаю значения с текущей страницы с экземпляром. Нужно ли мне начинать с нуля, чтобы использовать параметры, или есть обходной путь? Заранее спасибо.
OriginalGriff
Таблица и параметризованный код не имеют значения: если у вас есть столбец VARBINARY или BINARY в таблице для хранения данных, использование параметров не требует никаких изменений в конце SQL.
И если вы уже не используете параметризованные запросы в своем приложении, вы потеряете свои данные. Никогда не объединяйте строки для построения команды SQL. Это оставляет вас широко открытыми для случайной или преднамеренной атаки SQL-инъекции, которая может уничтожить всю вашу базу данных. Вместо этого используйте параметризованные запросы.
Когда вы объединяете строки, вы вызываете проблемы, потому что SQL получает такие команды, как:
SELECT * FROM MyTable WHERE StreetAddress = 'Baker's Wood'
Цитата, добавленная пользователем, завершает строку в том, что касается SQL, и вы получаете проблемы. Но могло быть и хуже. Если я приду и наберу вместо этого: "x';DROP TABLE MyTable;--", то SQL получит совсем другую команду:
SELECT * FROM MyTable WHERE StreetAddress = 'x';DROP TABLE MyTable;--'
Которые SQL видит как три отдельные команды:
SELECT * FROM MyTable WHERE StreetAddress = 'x';
Совершенно правильный выбор
DROP TABLE MyTable;
Вполне допустимая команда "удалить таблицу"
--'
А все остальное-это комментарии.
Так оно и происходит: выбирает любые совпадающие строки, удаляет таблицу из базы данных и игнорирует все остальное.
Поэтому всегда используйте параметризованные запросы! Или будьте готовы часто восстанавливать свою БД из резервной копии. Вы ведь регулярно делаете резервные копии, не так ли?