在SQL Server中捕獲帶有附加值的SQL INSERT語句

Question

我在我的vb.net應用程序中有一個INSERT語句。沿着路東西...

SQL = " Insert into tableA (Value1, Value2, Value3) Values (Mark1, City2, State3) " 

我試圖做的是傳遞到實際上將插入SQL語句中的函數這一點。我正在嘗試在LOG表中插入此sql語句的副本。

Public Function (InsertSQL as String) As Boolean 
nSql = "INSERT INTO tblSQLLOG (InsertSQL, Date, User) VALUES (" 
nSql += "'" & InsertSQL + "', " 
nSql += "'" & Now() & "', " 
nSql += CStr(userName) + ") " 

cmd = New SqlCommand(nSql, conn) 
End Function 

所以，現在，如果我檢查我的nSQL它看起來像....

Insert into tblSQLLOG (insert sql, date,user) values ('insert Insert into tableA (Value1, Value2, Value3) Values ('Mark1', 'City2', 'State3')','11/30/2016 8:46:41 AM', 'Bobby') 

在此插入語句我gettig值1附近的錯誤 - 我不知道我」做錯了。一切看起來都很好。

Answer 1

是的，你應該使用參數。那說問題是你在字符串中有單引號。注意InsertSQL的Replace（）

Public Function (InsertSQL as String) As Boolean 
nSql = "INSERT INTO tblSQLLOG (InsertSQL, Date, User) VALUES (" 
nSql += "'" & Replace(InsertSQL,"'","''") + "', " 
nSql += "'" & Now() & "', " 
nSql += CStr(userName) + ") " 

cmd = New SqlCommand(nSql, conn) 
End Function 

Answer 2

你正在做一件大事情錯誤的事情，那就是你沒有使用參數。

Public Function FuncName (InsertSQL as String) As Boolean 
nSql = <sql>INSERT INTO tblSQLLOG 
    (InsertSQL, [Date], [User]) 
    VALUES 
    (@InsertSQL, @Date, @User) 
</sql> 

cmd = New SqlCommand(nSql, conn) 
cmd.Parameters.AddWithValue("@InsertSQL", InsertSQL) 
cmd.Parameters.AddWithValue("@Date", DateTime.Now) 
cmd.Parameters.AddWithValue("@User", CStr(userName)) 

' then what? you would use cmd and return true or false 

End Function 

PS：還要檢查在SQL服務器審計。