SQL Insert语句语法

Question

SQL Insert语句语法

Net*_*101 5 .net c# sql insert sql-server-express

基本上我正在做的是,点击按钮后,程序将根据用户选择的内容从特定行中提取数据,并使用它将其放在不同的表中INSERT.以下是代码.

private void button3_Click(object sender, EventArgs e)
{
        const String connectionString = "Data Source = Vanessa-PC\\SQLEXPRESS; Initial Catalog = IUMDC; Connect Timeout = 15; Integrated Security = true";
        SqlConnection con = new SqlConnection(connectionString);

        //int SituationID1; 
        label24.Show();

        foreach (SitID x in Sittbl)
        {
            if (x.ID == Convert.ToInt16(comboBox1.SelectedItem))
            {
                try
                {
                    con.Open();
                    SqlCommand command = new SqlCommand("SELECT * FROM Situation WHERE SituationID=" + x.SitIDs, con);
                    SqlDataReader dr = command.ExecuteReader();

                    while (dr.Read())
                    {
                        sitid1 = Convert.ToInt32(dr[0]);
                        name1 = dr[4].ToString();
                        incident1 = Convert.ToDateTime(dr[1]);
                        charges1 = dr[5].ToString();
                        nature1 = dr[2].ToString();
                    }

                    con.Close();
                }
                catch (SqlException ex)
                {
                    MessageBox.Show("Database failed to connect" + ex.Message);
                }

                //SituationID = x.SitIDs;
            }
        }

        try
        {                       
           con.Open();
           SqlCommand command1 = new SqlCommand("INSERT INTO CurrentSit VALUES (" + sitid1 + ",'" + incident1.ToString("YYYY-mm-DD") + "', '" + nature1 + "', '" + name1 + "', '" + charges1 + "'", con);
           SqlDataReader dr1 = command1.ExecuteReader();
           con.Close();
        }
        catch (SqlException ex)
        {
            MessageBox.Show("Database failed to connect" + ex.Message);
        }
        //Situation Sit = new Situation();
        //Sit.ShowDialog();
    }

Run Code Online (Sandbox Code Playgroud)

我的代码失败并说

" 行项目附近的语法不正确"

这两个表的类型是相同的,我试图彻底测试这个!

Answer 1

Son*_*nül 18

看起来你的上一个sql语句不正确.也许原因是在你的sql stament中使用撇号,但你不应该关心它.我在答案中解释为什么你不应该在意.

SqlCommand command1 = new SqlCommand("INSERT INTO CurrentSit VALUES (" + sitid1 + ",'" + incident1.ToString("YYYY-mm-DD") + "', '" + nature1 + "', '" + name1 + "', '" + charges1 + "'", con);

Run Code Online (Sandbox Code Playgroud)

要找出问题的确切原因,可以指定列名.但我建议您使用参数化查询,甚至不需要指定列名.

SqlCommand command1 = new SqlCommand("INSERT INTO CurrentSit VALUES(@sitid1, @incident1, @nature1, @name1, @charges1)", con);

command1.Parameters.AddWithValue("@sitid1", sitid1);
command1.Parameters.AddWithValue("@incident1", incident1.ToString("YYYY-mm-DD"));
command1.Parameters.AddWithValue("@nature1", nature1);
command1.Parameters.AddWithValue("@name1", name1);
command1.Parameters.AddWithValue("@charges1", charges1);

command1.ExecuteNonQuery();

Run Code Online (Sandbox Code Playgroud)

您应该始终使用参数化查询.这种代码对SQL注入攻击是开放的.

另外正如Marc所提到的,没有必要使用ExecuteReader()这个sql语句,因为它只是INSERT数据,不会返回任何数据.因此,您只需要ExecuteNonQuery()在这种情况下使用.

归档时间：	12 年，8 月前
查看次数：	28374 次
最近记录：	12 年，8 月前