Question

所以我一直都在犯那个错误。我不确定问题出在SQL服务器还是仅是我的编码技能。该代码用于将数据插入数据库。

发送帮助。

I'm getting this message while executing the code

private void registracija_btn_Click(object sender, EventArgs e)                        
{
        string RegistracijaUporabnisko = RegistracijaUporabnisko_txt.Text;
        string RegistracijaGeslo = RegistracijaGeslo_txt.Text;
        string RegistracijaMail = RegistracijaMail_txt.Text;

            try
            {
                string queryReg = "INSERT INTO uporabnik2(uporabnisko_ime, geslo, email) " +
                     "VALUES(" + RegistracijaUporabnisko + ", " + RegistracijaGeslo + ", " + RegistracijaMail + ")";

                using (SqlCommand command = new SqlCommand(queryReg, con))
                {
                    con.Open();
                    command.ExecuteNonQuery();
                    con.Close();
                }
            }
            catch (Exception ex)
            {
                MessageBox.Show("Napaka: " + ex);
            }

    }

Answer 1

参数（如下）可解决此问题以及一系列其他问题，包括SQL注入，i18n / l10n等。也可能只是在其中键入了列名在这种情况下，我们无法为您提供帮助，因为我们不知道真实姓名。

string queryReg = "INSERT INTO uporabnik2(uporabnisko_ime, geslo, email) " +
     "VALUES(@uporabnisko_ime, @geslo, @email)";

using (SqlCommand command = new SqlCommand(queryReg, con))
{
    con.Open();
    command.Parameters.AddWithValue("@uporabnisko_ime", RegistracijaUporabnisko_txt.Text);
    command.Parameters.AddWithValue("@geslo", RegistracijaGeslo_txt.Text);
    command.Parameters.AddWithValue("@email", RegistracijaMail_txt.Text);
    con.Close();
}

对于像这样的事情，我也从不推荐像Dapper这样的工具：

con.Execute("INSERT INTO uporabnik2(uporabnisko_ime, geslo, email) " +
     "VALUES(@uporabnisko_ime, @geslo, @email)", new {
    uporabnisko_ime = RegistracijaUporabnisko_txt.Text,
    geslo = RegistracijaGeslo_txt.Text,
    email = RegistracijaMail_txt.Text });

它可以完成所有操作，包括（如有必要）连接打开/关闭，命令构造，参数打包等。

Answer 2

让我们看看您的代码：

      string queryReg = "INSERT INTO uporabnik2(uporabnisko_ime, geslo, email) " +
             "VALUES(" + RegistracijaUporabnisko + ", " + RegistracijaGeslo + ", " + RegistracijaMail + ")";

        using (SqlCommand command = new SqlCommand(queryReg, con))
        {
            con.Open();
            command.ExecuteNonQuery();
            con.Close();
        }

好吧，如果RegistracijaUporabnisko的值为Rok，RegistracijaGeslo的值为Rok，而RegistracijaMail的值为Rok @ home ..您的字符串现在是什么样子？好吧

 string queryReg = "INSERT INTO uporabnik2(uporabnisko_ime, geslo, email) VALUES(Rok,Rok,Rok@home)";

当时要查找的Rok是一个字段，而不是一个值。因此它说无效列。

那如果您采用一种普遍采用的方式怎么办

  string queryReg = "INSERT INTO uporabnik2(uporabnisko_ime, geslo, email) VALUES(@RegistracijaUporabnisko ,@RegistracijaGeslo ,@email)";

    using (SqlCommand command = new SqlCommand(queryReg, con))
    {
        command.Parameters.AddWithValue("@RegistracijaUporabnisko ", RegistracijaUporabnisko );
        command.Parameters.AddWithValue("@RegistracijaGeslo ", RegistracijaGeslo );
        command.Parameters.AddWithValue("@email", email);
        con.Open();
        command.ExecuteNonQuery();
        con.Close();
    }

现在会发生什么？好吧，在幕后输入带有引号的文本，然后以适当的格式发送日期，并为您处理所有数字。它可以保护您免受注入攻击，因此，如果我输入"; drop table uporabnik2的名称，您将不会发现自己丢失了表格等。

Answer 3

尝试

string queryReg = "INSERT INTO uporabnik2(uporabnisko_ime, geslo, email) " +
                     "VALUES('" + RegistracijaUporabnisko + "', '" + RegistracijaGeslo + "', '" + RegistracijaMail + "')";

通常，您只需要将字符串类型数据的值括起来，但是为了安全起见，总是将值括在插入语句中的单引号中

System.Data.SqlClient.SqlException：无效的列名（行命令错误。ExecuteNonQuery（）;）

3 个答案: