INSERT INTO statment錯誤

Question

我一直在試圖插入一個特定的數據到我的數據庫（在我的情況下，它是爲Microsoft Access）， 這是下面的代碼我使用C＃中寫道：

string sql = "Insert into Orders(User,PID,PName,Price,Amount)" + 
      " values('" + od.User + "','" + od.Pid + "','" + 
      od.Pname + "','" + od.Price + "','" + od.Amount + "')"; 

現在我假設我寫的形式非常好，不是嗎？ 我得到的錯誤是：

INSERT INTO語句中的語法錯誤。

string sql = "Insert into Orders([User],PID,PName,Price,Amount) values(@user, @pid, @pname, @price, @amount)"; 

..here you will need to add your parameters to your command 

這既避免了SQL注入攻擊，防止錯誤使用轉義字符：所以你使用參數化命令

Answer 1

User是reserved keyword。用括號括起來指定要用它作爲標識符，而不是命令：

string sql = "Insert into Orders([User],PID,PName,Price,Amount)" + 
     " values('" + od.User + "','" + od.Pid + "','" + 
     od.Pname + "','" + od.Price + "','" + od.Amount + "')"; 

這應該解決您的直接問題。使用參數化查詢（如幾個人所建議的）很好地避免了將來的問題。

Answer 2

更改代碼。

Answer 3

下面是一個示例，您可以按照我已粘貼的副本從我剛剛寫的 您可能想要按照此爲將來的參考請注意如何使用Parameters.AddWithValue()方法而不是構建字符串查詢字符串與Quoted values

private void btnInsert_Click(object sender, EventArgs e) 
{ 
    using(SqlConnection con = new SqlConnection(connString)) 
    { 
     con.Open(); 
     string Sql = "INSERT INTO Uyeleri (dID, FullName, Address, Mobile, Email, Comments) " + 
        "VALUES (@id, @name, @address, @mobile, @email, @comments"); 
     using(SqlCommand cmd = new SqlCommand(Sql, con)) 
     { 
      cmd.Parameters.AddWithValue("@id", txtdID.Text); 
      cmd.Parameters.AddWithValue("@name", txtAdiSoyadi.Text); 
      cmd.Parameters.AddWithValue("@address", txtAddress.Text); 
      cmd.Parameters.AddWithValue("@mobile", txtMobile.Text); 
      cmd.Parameters.AddWithValue("@email", txtEmail.Text); 
      cmd.Parameters.AddWithValue("@comments", txtComments.Text); 
      cmd.ExecuteNonQuery(); 
     } 
    }