我有一个关于更新表中数据的问题。代码如下:
Dim cmdUp As New SqlCommand("UPDATE TblQuestion SET (QuestionTxt =" + question.Text + ") where QuestionId=@id", conn)
conn.Open()
cmdUp.Parameters.AddWithValue("@id", result)
cmdUp.ExecuteNonQuery()
conn.Close()
一个错误,'(' 附近的语法不正确出现在cmdUp.ExecuteNonQuery() 行。
那么,我想如何解决这个错误?
【问题讨论】:
标签: asp.net sql-server vb.net
这将解决您的错误。
Dim cmdUp As New SqlCommand("UPDATE TblQuestion SET QuestionTxt ='" +
question.Text + "' where QuestionId=@id", conn)
但是你有一个更多更大的问题。此代码将允许 SQL 注入攻击。
【讨论】:
QuestionTxt 和 QuestionID?
您的问题是由暂定传递字符串值而不用单引号引起来的。将您的question.Text 放在单引号之间可以解决问题。但这不是处理用作 sql 命令的字符串文本的正确方法。
这种情况只有一种方法。使用参数化查询(顺便说一下,你的查询有一半已经参数化了,那为什么不用问题文本呢?)
Dim cmdUp As New SqlCommand("UPDATE TblQuestion " & _
"SET QuestionTxt =@quest " & _
"where QuestionId=@id", conn)
conn.Open()
cmdUp.Parameters.AddWithValue("@id", result)
cmdUp.Parameters.AddWithValue("@quest", question.Text)
cmdUp.ExecuteNonQuery()
conn.Close()
参数化查询避免了其他答案中解释的 Sql Injection,但也避免了解析错误。如果您的用户键入包含单引号的问题会发生什么?我收到另一个语法错误。
【讨论】: