'附近的语法不正确('
我有一个关于更新表格中数据的问题。这是代码:
Dim cmdUp As New SqlCommand("UPDATE TblQuestion SET (QuestionTxt =" + question.Text + ") where QuestionId=@id", conn)
conn.Open()
cmdUp.Parameters.AddWithValue("@id", result)
cmdUp.ExecuteNonQuery()
conn.Close()
错误,'('出现在第cmdUp.ExecuteNonQuery()行附近的语法不正确。
那么,我想如何修复此错误?
2 个答案:
答案 0 :(得分:3)
这将解决您的错误。
Dim cmdUp As New SqlCommand("UPDATE TblQuestion SET QuestionTxt ='" +
question.Text + "' where QuestionId=@id", conn)
但是你有一个 MUCH 更大的问题。此代码将允许SQL注入攻击。
答案 1 :(得分:1)
你的问题是由试验性的传递一个字符串值而不用单引号括起来引起的。将question.Text放在单引号之间可以解决问题。但这不是处理用作sql命令的字符串文本的正确方法。
这种情况只有一种方法。使用参数化查询(顺便提一下,您的查询的一半已经参数化,为什么不是问题文本?)
Dim cmdUp As New SqlCommand("UPDATE TblQuestion " & _
"SET QuestionTxt =@quest " & _
"where QuestionId=@id", conn)
conn.Open()
cmdUp.Parameters.AddWithValue("@id", result)
cmdUp.Parameters.AddWithValue("@quest", question.Text)
cmdUp.ExecuteNonQuery()
conn.Close()
参数化查询避免了Sql注入,如其他答案中所述,但也避免解析错误。如果您的用户键入包含单引号的问题,会发生什么?我收到另一个语法错误。
相关问题
最新问题
- 我写了这段代码,但我无法理解我的错误
- 我无法从一个代码实例的列表中删除 None 值,但我可以在另一个实例中。为什么它适用于一个细分市场而不适用于另一个细分市场?
- 是否有可能使 loadstring 不可能等于打印?卢阿
- java中的random.expovariate()
- Appscript 通过会议在 Google 日历中发送电子邮件和创建活动
- 为什么我的 Onclick 箭头功能在 React 中不起作用?
- 在此代码中是否有使用“this”的替代方法?
- 在 SQL Server 和 PostgreSQL 上查询,我如何从第一个表获得第二个表的可视化
- 每千个数字得到
- 更新了城市边界 KML 文件的来源?