从asp.net插入sql数据库的问题

时间:2013-08-15 18:03:42

标签: c# asp.net sql sql-server-2008

我的列数比我在这里提供的要多得多,但我只想尝试发布主键列TrackingID(nchar [10])作为测试 - 如果我可以使用它,我可以让其他人工作。我有一个Windows窗体应用程序,可以进行类似的查询并运行得很完美,所以看看它是如何同时C#我很难理解出了什么问题。是连接字符串还是sql查询?表名称为Full。总共有23列,但唯一的主键是跟踪ID,它不能为空。在所有情况下,这些查询都是OnClick按钮事件。你可以看到我尝试了几条路线。我希望将其设置为参数化以防止SQL注入。您将看到的第一部分代码来自C#中的Windows窗体应用程序(虽然易受攻击)可以始终如一地工作。下面,您将看到asp.net代码。

    private void licensesubmitbutton_Click(object sender, EventArgs e)
    {
        try
        {
            System.Data.SqlClient.SqlConnection sqlConnection1 =
    new System.Data.SqlClient.SqlConnection("Data Source=data99;Initial Catalog=LicenseInventoryMgr;Integrated Security=True;Connect Timeout=0;Trusted_Connection=Yes");

            System.Data.SqlClient.SqlCommand cmd = new System.Data.SqlClient.SqlCommand();
            cmd.CommandType = System.Data.CommandType.Text;
            cmd.CommandText = "INSERT LIMTable (Software,Host,AssetTag,ActivationDate,LicenseNumber) VALUES ('" + softwarecombobox.Text + "','" + hostnamebox.Text + "','" + assettagcombobox.Text + "','" + dateactivateddatetimepicker.Value.ToString("yyyy-MM-dd") + "','" + licensekeytextbox.Text + "')";
            cmd.Connection = sqlConnection1;

            sqlConnection1.Open();
            cmd.ExecuteNonQuery();
            sqlConnection1.Close();
            MessageBox.Show("Successfully Submitted!");
        }
        catch (System.Exception )
        {
            MessageBox.Show("Submission unsuccessful. Try saving and refreshing first!");
        }
    }

这是我尝试过的ASP.NET代码。

    protected void submit_Click(object sender, EventArgs e)
    {
        try
        {
            SqlConnection conn = new SqlConnection(@"Data Source=data99;Initial Catalog=LFM_Archive;Integrated Security=True");
            string sql = "INSERT INTO Full (TrackingID) values (@TrackingID)";
            conn.Open();
            SqlCommand cmd = new SqlCommand(sql, conn);
            cmd.Parameters.Add("@TrackingID", SqlDbType.NChar);
            cmd.Parameters["@TrackingID"].Value = 6789;
            cmd.ExecuteNonQuery();
            conn.Close();

            MailMessage m1 = new MailMessage("y@x.net", "x@x.net");
            m1.Subject = "SQL Query Success";
            m1.Body = "SQL Query Success :)";
            m1.IsBodyHtml = true;
            SmtpClient smtp = new SmtpClient();
            smtp.Host = "mailserver99";
            smtp.EnableSsl = false;
            //System.Net.NetworkCredential NetworkCred = new System.Net.NetworkCredential();
            //NetworkCred.UserName = "username";
            //NetworkCred.Password = "password";
            smtp.UseDefaultCredentials = true;
            //smtp.Credentials = NetworkCred;
            smtp.Port = 25;
            smtp.Send(m1);

        }
        catch
        {
            MailMessage m2 = new MailMessage("y@x.net", "x@x.net");
            m2.Subject = "SQL Query Failed";
            m2.Body = "SQL Query Failed :(";
            m2.IsBodyHtml = false;
            SmtpClient smtp = new SmtpClient();
            smtp.Host = "mailserver99";
            smtp.EnableSsl = false;
            smtp.UseDefaultCredentials = true;
            smtp.Port = 25;
            smtp.Send(m2);
        }
    }

最终结果在此窗体中显示查询成功或失败,并且/或发送电子邮件。当我不再需要测试它时,电子邮件将是表单已发布到存档的简单通知。 asp.net应用程序中的注释代码只意味着我尝试了它,当它不起作用时,我评论它并尝试了一种新方法。

有人建议我尝试输入一条异常消息以便更好地看待 - 这有助于一些。 submitsuccess.Text是消息出现的地方。结果如下:“关键字'Full'附近的语法不正确。”

这听起来像是查询。 “Full”是数据库中的表名。

ANSWERED 这是有效的:

            SqlConnection conn = new SqlConnection(@"Data Source=data99;Initial Catalog=LFM_Archive;Integrated Security=True");
            string sql = "INSERT INTO [Full] (TrackingID) values (@TrackingID)";
            conn.Open();
            SqlCommand cmd = new SqlCommand(sql, conn);
            cmd.Parameters.Add("@TrackingID", SqlDbType.NChar, 10);
            cmd.Parameters["@TrackingID"].Value = empfirst.Text;
            cmd.ExecuteNonQuery();
            conn.Close();

2 个答案:

答案 0 :(得分:0)

问题是FULL是SQL中的保留字。见this Technet link.

要解决您的问题,请在保留关键字上使用括号,如下所示:

string sql = "INSERT INTO [Full] (TrackingID) values (@TrackingID)";

答案 1 :(得分:0)

尝试使用此代码

INSERT INTO [Full] (TrackingID) values ('@TrackingID')

问题归结为FULL是关键字