我必须在c#code
中执行插入查询connexion = new SqlConnection(connexionString);
connexion.Open();
List<int> liste = client.GetIDFichiers(1210);
int a = 2;
foreach (int idfichier in liste)
{
a++;
using (connexion)
{
using (SqlCommand sqlCmd = new SqlCommand("INSERT INTO REL_Fab3DLotFichier_Fichier3D (IDREL_Fab3DLotFichier_Fichier3D,IDFichier3D,IDFab3DLotFichier,CreePar,CreeLe,ModifiePar,DateMaj,EstActif) VALUES (" + a + "," + idfichier + "," + 17965 + "," + null + "," + null + "," + null + "," + null + "," + 1 + ")", connexion))
{
try
{
sqlCmd.ExecuteNonQuery();
}
catch (Exception ex) { MessageBox.Show(ex.ToString()); }
}
}
}
插入不起作用,我不知道为什么。选择和删除查询工作正常。只有当我尝试插入值时才会出现语法错误。
答案 0 :(得分:3)
语法错误是什么?我该如何解决?
是。使用参数化的SQL语句。
string sql = "INSERT INTO TableName (Column1,Column2) VALUES (@value1,@value2)";
using(SqlCommand sqlCmd = new SqlCommand(sql,connection))
{
sqlCmd.Parameters.Add("@value1",SqlDbType.Varchar,20).Value = varName1;
sqlCmd.Parameters.Add("@value2",SqlDbType.Varchar,20).Value = DBNull.Value;
...
}
尝试包含非空字段以准备INSERT SQL。
sql=@"INSERT INTO REL_Fab3DLotFichier_Fichier3D
(IDREL_Fab3DLotFichier_Fichier3D,
IDFichier3D,
IDFab3DLotFichier,
DateMaj,EstActif)
VALUES
(@IDREL_Fab3DLotFichier_Fichier3D,
@IDFichier3D,
@IDFab3DLotFichier,
@DateMaj,@EstActif)";
答案 1 :(得分:1)
您传递的某些值可能是字符串/ varchar对象,而您没有用引号将它们包装起来:
new SqlCommand("INSERT INTO REL_Fab3DLotFichier_Fichier3D (IDREL_Fab3DLotFichier_Fichier3D,IDFichier3D) VALUES ('" + a + "', '" + idfichier + "')", connexion);
实际上,正如AVD建议的那样,你应该使用参数化,这不太容易发生注入攻击。
答案 2 :(得分:0)
请将您的字符串值括在单引号中,如下所示
New SqlCommand("insert into Type(TypeName,TypeOrder,CategoryID) values ('" + txtType1.Text + "','" + txtOrder.Text + "','" + ViewState("CatID").ToString() + "')", con)