我有一个这种形式的 SQL 查询
string cmdText = "Select * from " + searchTable
+ "WHERE " + searchTable
+ "Name =' " + searchValue + "'";
基本上我要做的是从数据库的 Actors 表中获取特定演员的信息。变量 searchTable 的值为“Actor”,它是表名,searchValue 有演员的名字(由演员表中的 ActorName 属性表示,这里我试图通过连接单词“Actor”来形成属性的名称'和'名称')
因此,所有这些连接都会导致(或至少应该导致)以下形式的查询:
Select * from Actor where ActorName ='some actor';
但是当我尝试运行它时,它会在浏览器中显示错误“'=' 附近的语法不正确”。有人可以帮忙吗?
【问题讨论】:
您可以将(并且应该!)参数放入您的 SQL 查询中以获取例如你的 WHERE 子句 - 但你不能参数化你的表名之类的东西。
所以我将该查询重写为:
SELECT (list of columns)
FROM dbo.Actor
WHERE ActorName = @ActorName
然后只传入@ActorName 的值。
如果你需要对导演做同样的事情,你必须有第二个查询
SELECT (list of columns)
FROM dbo.Directors
WHERE DirectorName = @DirectorName
使用这样的参数
PS:您设置中的原始问题是:您的表名的第一次出现和 WHERE 子句之间没有任何空格 - 因此您会得到:
SELECT * FROM ActorWHERE ActorName ='.....'
如果你真的坚持将你的 SQL 语句连接在一起(我会不推荐它!),那么你需要在你的表名和你的 WHERE 之间放置一个空格!
更新:一些学习 ADO.NET 中参数化查询的资源:
【讨论】:
您不应该将字符串连接到 SQL,因为这会打开您到SQL Injection attacks。
This 是一篇关于动态 SQL 的相当长的读物,但值得一读以了解风险和选项。
您应该改用parameterized queries,尽管使用表名作为参数的唯一方法是使用动态 SQL。
我敦促您更改有关表名的方法 - 这将在未来导致问题 - 它不可维护,正如我上面提到的,可能会使您面临 SQL 注入。
您看到的错误是您使用“Where”子句进行连接的结果 - 您在它之前缺少一个空格。您还在以“名称”结尾的参数中的' 之后添加一个空格。
您的结果字符串,使用您的示例将是:
Select * from ActorWHERE ActorName =' some actor';
【讨论】:
有一个空白缺失,一个太多:
searchTable + "Name =' "
应该阅读
searchTable + " Name ='"
除此之外,使用 SQL 参数来防止 SQL 注入。
【讨论】:
string cmdText = "Select * from " + searchTable + " WHERE Name = '" + searchValue + "'";
【讨论】: