更新数据库值时的 SQL 语法错误

Question

我只在数据库中更新一个人的钱。钱被保存为货币，电子邮件被保存为字符串。我的 SQL 抛出语法错误

ADOQuery.sql.text:= ' UPDATE TblPlayerdetails SET Money = "' + Inttostr(NewAmount) + '" WHERE Email = "' + Playersemail + '"';

Newamount 是一个整数，email 是一个字符串。

Answer 1

我希望您能设法从我在 cmets 中链接的文档中弄清楚该怎么做，但经过反思，我认为我最好提供一个正确的答案。

设置如下代码

procedure TForm1.Button1Click(Sender: TObject);
begin
  AdoQuery2.SQL.Text := 'update moneytable set money = :money where id = :id';

  AdoQuery2.Parameters.ParamByName('ID').Value := 1;
  AdoQuery2.Parameters.ParamByName('Money').Value := 99;

  AdoQuery2.ExecSQL;
end;

线

  AdoQuery2.SQL.Text := 'update moneytable set money = :money where id = :id';

设置参数化的 UPDATE 语句。 :id 和 :money 是 parameter 值的占位符，它们将单独提供。参数名称是 ID 和 Money，尽管它们可以被赋予其他名称。请注意，如果您愿意，可以在设计时在 IDE 中设置 AdoQuery2 的 SQL.Text。

接下来的两行

  AdoQuery2.Parameters.ParamByName('ID').Value := 1;
  AdoQuery2.Parameters.ParamByName('Money').Value := 99;

指定实际执行 UPDATE 时要设置的参数值。 ID 值是表中要更新的行的行 ID（也称为主键）。在实际执行 UPDATE 语句之前，AdoQuery 会解析 SQL 并创建参数（如果它们不存在）（您可以在设计时在 IDE 中通过编辑 AdoQuery 的 Parameters 属性来创建它们。

终于

  AdoQuery2.ExecSQL;

是实际执行 UPDATE 语句的内容。请注意，您可以根据需要多次重复设置参数值和调用 ExecSQL 的步骤。

您的 UPDATE 语句的主要问题是您使用了双引号 (") 标记，而当 SQL 语句需要引号时（并且数字列的值不需要），它们应该是单引号(')。在 Delphi 代码中构造 SQL 语句时的一个复杂之处在于，它的语法需要将要嵌入到 SQL 中的单引号加倍。

还请注意，您应该始终为您的 SELECT、UPDATE、INSERT 和 DELETE 语句使用参数化 SQL，因为这有助于保护您的应用免受Sql injection 的侵害。例如，使用户可以访问未参数化的语句可以允许恶意用户尝试执行他们希望执行的任何 SQL。

Answer 2

在您的问题中，您没有说明“金钱”是什么类型的列。如果是 varchar、char，那我明白你为什么要把 NewAmount 转换成字符串了。

但是，如果数据库需要数值（因为该字段的类型为 int、double、dec 或 float），则语法为 SET Money= '+ NewAmount +'。