服务器标签的格式不正确。查询字符串和数据绑定

Question

我进行了大量研究，但没有找到解决此问题的方法。

<form id="form1" runat="server">
<div>

    <asp:GridView ID="GridView1" runat="server" DataSourceID="SqlDataSource1" EnableModelValidation="True">
    </asp:GridView>
    <asp:SqlDataSource ID="SqlDataSource1" runat="server" ConnectionString="<%$ ConnectionStrings:ConnectionString %>" SelectCommand="(SELECT [TID], [CaseID]
  ,[dtTimeStamp]
  ,[Site]
  ,[Dept]
  ,[LocationDetail]
  ,[ContactPerson]
  ,[Phone]
  ,[contactEmail]
  ,[ProblemDesc]
FROM [hispcsupport_kb].[dbo].[tblCase] 
WHERE CaseID=" Request.QueryString("CaseID"))">

    </asp:SqlDataSource>

</div>
</form>

从错误来看，这是导致错误的行。

<asp:SqlDataSource ID="SqlDataSource1" runat="server" ConnectionString="<%$ ConnectionStrings:ConnectionString %>" SelectCommand="(SELECT [TID], [CaseID]

有什么帮助吗？

Answer 1

Request.QueryString("CaseID") 周围的引号绝对是一个问题。您已经为 SelectCommand 元素使用了双引号。将SelectCommand 周围的引号改为单引号：

SelectCommand='Select * from tblCase where CaseID=<%=Request.QueryString["CaseID"] %>'

看到 * 有效后，请随意将 * 改回字段列表。

Answer 2

更改 SelectCommand 以使用参数：Using Parameters with the SqlDataSource Control，这将具有消除 SQL 注入攻击机会的额外好处。末尾的“社区添加”部分显示了如何添加带有值的参数。

所以...

<asp:SqlDataSource ID="SqlDataSource1" runat="server"
    ConnectionString="<%$ ConnectionStrings:ConnectionString %>"
    SelectCommand="(SELECT [TID], [CaseID]
      ,[dtTimeStamp]
      ,[Site]
      ,[Dept]
      ,[LocationDetail]
      ,[ContactPerson]
      ,[Phone]
      ,[contactEmail]
      ,[ProblemDesc]
    FROM [hispcsupport_kb].[dbo].[tblCase] 
    WHERE CaseID = @CaseID">
</asp:SqlDataSource>

并在代码隐藏中的适当位置：

SqlDataSource1.SelectParameters.Add("@CaseID", DbType.NVarChar, Request.QueryString("CaseID")) 

（如果需要，请更改 DbType）。