而不是连续调用两个sql语句,而是将条件合并到单个sql语句的where子句中,如下所示:
str = "SELECT * FROM Customers WHERE Customer_Phone_Number='" & Phone & _
"' AND Customer_Address_Zip='" & Zip & "'"
如下面的建议,您应该修复您的代码,以确保其免受sql攻击。简而言之,只要您在用户输入的字段中插入字符串,就需要对其进行清理。实现此目的的最佳方法是使用参数化查询。请搜索“ VB中的参数化查询”,您会发现很多示例。