asp读取数据库的问题

Question

http://localhost/article_show.asp?Abo...
代码一：

<%
dim rs,sql,AboutNameCh
AboutNameCh=request.QueryString("AboutNameCh")
set rs=server.CreateObject("adodb.recordset")
sql="select * from Southidc_About where AboutNameCh="&AboutNameCh
response.write(AboutNameCh)'这里可以正常输出“医院简介”
rs.open sql,conn,1,3
%>

代码二：

<%
dim rs,sql,AboutNameCh
AboutNameCh=request.QueryString("AboutNameCh")
set rs=server.CreateObject("adodb.recordset")
sql="select * from Southidc_About where AboutNameCh='医院简介'“
rs.open sql,conn,1,3
%>

让我很纳闷的是代码一出现错误，信息为：Microsoft JET Database Engine ���� '80040e10' ，而代码二却可以正常运行，但是代码一的变量可以正确打印出来的呀

Answer 1

代码二：

"select * from Southidc_About where AboutNameCh='医院简介'“

医院简介 加引号

代码一：

sql="select * from Southidc_About where AboutNameCh="&AboutNameCh

AboutNameCh 没加引号。

AboutNameCh字段是text类型。

AboutNameCh=request.QueryString("AboutNameCh")

还有这个要先过滤下，当年好多asp的sql漏洞，就是因为这种非常低级的错误。。。。。。