选择时语法不正确,名字附近的错误

【问题标题】:incorrect syntax when I select, the error near the first name选择时语法不正确,名字附近的错误
【发布时间】:2017-12-11 11:26:10
【问题描述】:

我有一个错误的小问题。但我有这个命令的另一种形式,不要给我错误。

这是代码:

string select = "select CONCAT(nume,' ',prenume) from echipa where email=@EMAIL";

            cmd.Connection = con;


            if (bunifuCheckbox1.Checked == true)
            {
                con.Open();
                cmd.CommandText = "Insert into clienti_fizici(nume,prenume,email,telefon,adresa,data_nasterii,data_ora,CNP,sex,judetprovenienta,temperamentclient,provenientaclient,descriere,numeagent)values('"
+ bunifuMaterialTextbox1.Text + "','" + bunifuMaterialTextbox2.Text + "','" + bunifuMaterialTextbox4.Text + "','" + bunifuMaterialTextbox8.Text + "','" + bunifuMaterialTextbox3.Text + "','" + DateTime.Now.ToString("yyyy-MM-dd HH: mm:ss") + "','" + bunifuDatepicker1.Value.Date + "','" + bunifuMaterialTextbox11.Text + "','" + gender + "','" + bunifuMaterialTextbox12.Text + "','" + bunifuDropdown1.selectedValue + "','" + bunifuDropdown2.selectedValue
+ "','" + richTextBox1.Text + "','" + select + "')";
                cmd.Parameters.AddWithValue("@EMAIL", loginform.Email);
                MessageBox.Show("Datele au fost introduse in baza de date !");
                cmd.ExecuteNonQuery();
                con.Close();
            }

并且错误将来自该选择。

【问题讨论】:

  • 你到底想做什么?插入选择的值?将 SQL 语句作为字符串插入?如果是第一个,它不会以这种方式工作。如果是第二个,也将查询的其余部分参数化,它将起作用。
  • 我刚刚回答了这样一个问题,看例子:stackoverflow.com/questions/47750505/…
  • What are good ways to prevent SQL injection?的可能重复
  • @mjwills 异常状态 System.Data.SqlClient - 意思是 SQL Server。此外,使用参数只是问题的一部分。这不是您或 Rogério 链接到的问题的副本。语法错误是因为在values 子句中使用了select。如果有的话,它是Subqueries are not allowed after VALUES? 的副本。但是,我没有将其标记为重复,因为这个问题有一个更大的问题(当然是 SQL 注入危险)。

标签: c# sql visual-studio


【解决方案1】:

首先,您绝不能将字符串与用户输入连接来创建 SQL 语句。相反,始终参数化您的 SQL 语句。否则,您将面临SQL injection 攻击的风险。

其次,不能在values 子句中使用select
您可以在select 语句中添加参数或硬编码值。

第三,SqlConnectionSqlCommand 都实现了IDisposable 接口,应该用作using 块内的局部变量。

更好的代码如下所示:

if (bunifuCheckbox1.Checked == true)
{

    string sql = "Insert into clienti_fizici(nume, prenume, email, telefon, adresa, data_nasterii, data_ora, CNP, sex, judetprovenienta, temperamentclient, provenientaclient, descriere, numeagent) " + 
                 "SELECT @nume, @prenume, @email, @telefon, @adresa, @data_nasterii, @data_ora, @CNP, @sex, @judetprovenienta, @temperamentclient, @provenientaclient, @descriere, CONCAT(nume,' ',prenume) " + 
                 "FROM echipa where email = @EMAIL";

    // Note: SqlConnection should be opened for the shortest time possible - the using statement close and dispose it when done.
    using(var con = new SqlConnection(connectionString))
    {
        // SqlCommand is also an IDisposable and should be disposed when done.
        using(var cmd = new SqlCommand(sql, con)
        {
        cmd.Parameters.Add("@nume", SqlDbType.NVarChar).Value = bunifuMaterialTextbox1.Text;
        cmd.Parameters.Add("@prenume", SqlDbType.NVarChar).Value = bunifuMaterialTextbox2.Text;
        //... Add the rest of the parameters here...
        cmd.Parameters.Add("@EMAIL", SqlDbType.NVarChar).Value = loginform.Email;
        // Why is this here? MessageBox.Show("Datele au fost introduse in baza de date !");
        con.Open();
        cmd.ExecuteNonQuery();
        }
    }
}

【讨论】:

  • 谢谢,我输入了参数并添加了选择,现在它可以工作了。
猜你喜欢
  • 1970-01-01
  • 1970-01-01
  • 1970-01-01
  • 1970-01-01
  • 1970-01-01
  • 1970-01-01
  • 1970-01-01
  • 2013-12-16
  • 1970-01-01
相关资源
最近更新 更多
热门标签
Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode