1
我得到這個錯誤:動態SQL查詢導致「未閉合的引號」的錯誤
Unclosed quotation mark after the character string ''.
用下面的代碼:
lSQL = "DELETE FROM tblCourses where courseCode='" + aCourseCode + "'";
哪裏lSQL是局部變量,aCourseCode是一個存儲值。有什麼建議麼?
A
回答
17
您應該總是使用參數化查詢或您的代碼容易出錯,因爲您正在收到的錯誤和SQL注入攻擊甚至更糟糕。 從來沒有在構建SQL查詢時使用字符串連接。下面是正確的方法:
using (var conn = new SqlConnection(ConnectionString))
using (var cmd = conn.CreateCommand())
{
conn.Open();
cmd.CommandText = "DELETE FROM tblCourses WHERE courseCode = @courseCode";
cmd.Parameters.AddWithValue("@courseCode", aCourseCode);
int deletedRowsCount = cmd.ExecuteNonQuery();
}
這將確保即使aCourseCode變量包含了一些逃生和危險的人物,他們將得到妥善處理。
+2
+1這個查詢會做什麼更不用說這也會使任何引號'aCourseCode'變量。 – Yuck
+0
非常感謝你的幫助.... :) –
-4
一個更好的辦法來格式化字符串就是用這樣的:
lSQL = String.Format("DELETE FROM tblCourses where courseCode='{0}'", aCourseCode);
另外,還要確保你沒有任何嵌入雙引號或單引號中的變量aCourseCode。
希望有所幫助。
0
您可能會在aCourseCode變量中出現單引號或雙引號。
相關問題
- 1. SQL數據透視表查詢錯誤:動態公司名稱。錯誤 - 未封閉的引號
- 2. 導致錯誤的sql查詢2950
- 3. 導致死鎖錯誤的SQL查詢
- 4. SQL查詢錯誤 - 包含的引號和錯誤的語法
- 5. 動態查詢的SQL錯誤
- 6. 的Sql動態查詢語法錯誤
- 7. 使用sql server 2005同義詞表導致動態查詢生成錯誤
- 8. 更新錯誤導致的查詢
- 9. 我的SQL查詢是否導致我的JDBC錯誤?
- 10. 的Django:Django的生成SQL查詢導致錯誤
- 11. 錯誤聯合SQL查詢
- 12. 數據庫中的引號和括號導致SQL/PHPExcel中的格式錯誤
- 13. psycopg2 cursor.execute()的SQL查詢參數會導致語法錯誤
- 14. 如何解決SQL查詢中的單引號錯誤?
- 15. 錯誤的SQL查詢關於所引號
- 16. 拆分導致SQL查詢
- 17. 金額導致SQL查詢
- 18. 動態查詢錯誤
- 19. 動態查詢錯誤PLSQL
- 20. $ _GET for MySQL查詢導致未知列錯誤
- 21. 聯合查詢不起作用,導致ORA-00904錯誤
- 22. 錯誤在phpMyAdmin執行動態SQL查詢(錯誤:#1046)
- 23. 動態SQL逗號分隔值查詢
- 24. linq動態查詢未填充集合
- 25. T-SQL,在子查詢中選擇@variable導致語法錯誤
- 26. 包裝SQL查詢導致語法錯誤
- 27. dapper查詢 - 修復「未接受引號附近...」錯誤
- 28. 單個的SQL Server導致查詢
- 29. NHibernate的SQL查詢結果導致
- 30. Qt的MOC導致「未定義的引用:」錯誤
任何機會aCourseCode包含單引號?請使用參數化的SQL查詢來防止SQL注入。這裏有一個很好的解釋http://www.uberasp.net/getarticle.aspx?id=46。考慮一下,如果aCourseCode是字符串「x」或1 = 1「 – driis
你的課程名稱可能是」Sql的漏洞的歷史記錄「 – Jimmy