var strsql = "insert into Staff_Answer (ExamTitleID,QuestionsID,MultipleChoice,RightOption,AnswerOption,IsRight,Score,StaffScore,Remark,State,Creator,CreatOrg,CreateTime) values";

             strsql += "(@ExamTitleID,@QuestionsID,@MultipleChoice,@RightOption,@AnswerOption,@IsRight,@Score,@StaffScore,@Remark,@State,@Creator,@CreatOrg,@CreateTime)";

             var cmd = new SqlCommand(strsql);

             var param = new SqlParameter[] {

                                                 new SqlParameter("@ExamTitleID",SqlDbType.UniqueIdentifier),

                                                 new SqlParameter("@QuestionsID",SqlDbType.UniqueIdentifier),

                                                 new SqlParameter("@MultipleChoice",SqlDbType.NVarChar,),

                                                 new SqlParameter("@RightOption",SqlDbType.NVarChar,),

                                                 new SqlParameter("@AnswerOption",SqlDbType.NVarChar,),

                                                 new SqlParameter("@IsRight",SqlDbType.NVarChar,),

                                                 new SqlParameter("@Score",SqlDbType.Decimal,),

                                                 new SqlParameter("@StaffScore",SqlDbType.Decimal,),

                                                 new SqlParameter("@Remark",SqlDbType.Text),

                                                 new SqlParameter("@State",SqlDbType.NVarChar,),

                                                 new SqlParameter("@Creator",SqlDbType.NVarChar,),

                                                 new SqlParameter("@CreatOrg",SqlDbType.NVarChar,),

                                                 new SqlParameter("@CreateTime",SqlDbType.NVarChar,)

                                             };

             param[].Value = new Guid(this.ExamTitleCode.Value);

             param[].Value = new Guid(QuestionsID);

             param[].Value = Anserdt.Rows[]["MultipleChoice"].ToString();

             param[].Value = RightOption;

             param[].Value = AnswerOption;

             param[].Value = ISRight ? "" : "";

             param[].Value = Convert.ToInt32(Question.Rows[]["Score"]);

             param[].Value = ISRight ? Convert.ToInt32(Question.Rows[]["Score"]) : ;

             param[].Value = this.Remark.InnerText;

             param[].Value = "";

             param[].Value = userid;

             param[].Value = Orgname1;

             param[].Value = DateTime.Now;

             foreach (SqlParameter para in param)

             {

                 cmd.Parameters.Add(para);

             }

            helps.GetExecuteNonQueryBySqlPa(cmd);

         }

感谢同事给我提供的内容

sql 防注入插入的更多相关文章

  1. sql 防注入 维基百科

    http://zh.wikipedia.org/wiki/SQL%E8%B3%87%E6%96%99%E9%9A%B1%E7%A2%BC%E6%94%BB%E6%93%8A SQL攻击(SQL inj ...

  2. SQL防注入程序 v1.0

    /// ***************C#版SQL防注入程序 v1.0************ /// *使用方法: /// 一.整站防注入(推荐) /// 在Global.asax.cs中查找App ...

  3. PHP之SQL防注入代码集合(建站常用)

    SQL防注入代码一 <?php if (!function_exists (quote)) { function quote($var) { if (strlen($var)) { $var=! ...

  4. 特殊字符的过滤方法,防sql防注入代码的过滤方法

    特殊字符的过滤方法 function strFilter($str){ //特殊字符的过滤方法 $str = str_replace('`', '', $str); $str = str_replac ...

  5. SQL防注入程序

    1.在Global.asax.cs中写入: protected void Application_BeginRequest(Object sender,EventArgs e){      SqlIn ...

  6. PHP SQL防注入

    过年前后在做一个抽奖的东西,需要用户填写中奖信息,为了防止非法用户对数据库进行入侵神马的,于是写下基本的防注入语句,需要用的可以自己封装成一个function. $str = str_replace( ...

  7. 360提供的SQL防注入

    <?php class sqlsafe { private $getfilter = "'|(and|or)\\b.+?(>|<|=|in|like)|\\/\\*.+?\ ...

  8. .net sql 防注入 httpmodule

    1 新建一个类,实现IHttpModule接口 using System; using System.Collections.Generic; using System.Linq; using Sys ...

  9. PHP之SQL防注入代码(360提供)

    <?php class sqlsafe { private $getfilter = "'|(and|or)\\b.+?(>|<|=|in|like)|\\/\\*.+?\ ...

随机推荐

  1. spring中PropertyPlaceholderHelper替换占位符的值

    1.Properties中的值替换¥{}或者#{}占位符 String text = "foo=${foo},bar=${bar}"; Properties props = new ...

  2. (C)inline关键字

      背景(C&C++中) 一.inline关键字用来定义一个类的内联函数,引入它的主要原因是用它替代C中表达式形式的宏定义. 表达式形式的宏定义一例:#define ExpressionNam ...

  3. POJ1759 Garland —— 二分

    题目链接:http://poj.org/problem?id=1759 Garland Time Limit: 1000MS   Memory Limit: 10000K Total Submissi ...

  4. 适配器、工厂模式、线程池、线程组、互斥锁、Timer类、Runtime类、单例设计模式(二十四)

    1.多线程方法 * Thread 里面的俩个方法* 1.yield让出CPU,又称为礼让线程* 2.setPriority()设置线程的优先级 * 优先级最大是10,Thread.MAX_PRIORI ...

  5. Scrapy爬虫报错:ModuleNotFoundError: No module named 'win32api'

    运行 scrapy crawl douban_spider 出现报错: 解决办法:安装pywin32,下载适配安装的Python版本(64位,Python3.6) 下载地址: https://sour ...

  6. hdu 1400 Mondriaan's Dream 解题报告

    题目链接:http://acm.hdu.edu.cn/showproblem.php?pid=1400 题目意思:给出一个h * w的 大 矩形,需要用 1 * 2 的砖块去填充这个大矩形,问填充的方 ...

  7. RPi 2B IPC webcam server

    /**************************************************************************** * RPi 2B IPC webcam se ...

  8. 使用Pycharm官方统计代码行插件统计代码总行数

    最近有需求,需要统计项目代码的总行数,首先想到了使用Pycharm官方的统计行数插件,发现效果还不错. 官方代码统计插件指导:https://plugins.jetbrains.com/plugin/ ...

  9. 架构:template

    ylbtech-架构: 1.返回顶部   2.返回顶部   3.返回顶部   4.返回顶部   5.返回顶部     6.返回顶部   作者:ylbtech出处:http://ylbtech.cnbl ...

  10. 字体的设置 REM EM PX

    px 1 一般设置页面的字体使用px 2 优点:字体设置比较稳定和精确 3 缺点:他会修改用户浏览器中的字体大小 EM 相对于父元素的字体大小,字体大小不确定,容易混乱,“em”是相对于其父元素来设置 ...