','附近的语法不正确.SQL Server和c#

Question

我得到一个例外:

','附近的语法不正确.

在以下查询中:请帮助.

我已经在很多方面尝试过但不行不通.即使我尝试插入单个值,我仍然会遇到此异常.

cmd = new SqlCommand("insert into purchaseOrder_master(sup_id,po_date,required_date,tot_amt,uid,potime) values("+supid.Text +",'"+podate.Value.Date+"','"+reqdate.Value.Date+"',"+pocost.Text +","+uid.Text +",'"+potime.Value.TimeOfDay  +"')", con);

Answer 1

我们多久要重复一次你应该使用参数化查询？!

using (SqlCommand cmd = new SqlCommand("insert into table (column) values (@param)", conn))
{
  cmd.Parameters.AddWithValue("@param", value);
  cmd.ExecuteNonQuery();
}

您的代码存在以下问题:

1. 对SQL注入持开放态度
2. DateTime值将无法正确处理(可能是现在的问题)
3. 必须正确处理字符串(引号)