使用vb.net，字符串sql格式不正确会导致插入失败？

使用vb.net，字符串sql格式不正确会导致插入失败？

由于许多原因，使用字符串替换来传递参数不是一个好主意：它容易受到SQL Injection攻击的影响，更容易出错并且更难以阅读和维护。

在您的问题中，问题很可能是由于您的某些价值观缺少“”。

想象一下，如果您只希望用户能够更新表中的某些字段，但是用户在文本框中输入了诸如“ Hello”，ReadOnlyField
=’World之类的内容，然后将其合并到查询中。ReadOnlyField世界将被更新。使用参数可以避免这种情况。

如果您使用参数，则无需担心’‘，因为参数是类型变量而不是字符串。

您也不需要将所有内容都转换为字符串，因为大多数.NET primitves具有SQL等效项。

请参阅此处以获取有关VB.Net SqlCommand.Parameters的示例和文档

https://msdn.microsoft.com/zh-
CN/library/system.data.sqlclient.sqlcommand.parameters%28v=vs.110%29.aspx