保存記錄到數據庫中拋出運行時錯誤在ASP.Net C＃

Question

我不知道爲什麼我拋出此異常得到這個運行時錯誤：

SQLEXCEPTION是由用戶代碼未處理

附近有語法錯誤M」。
字符串'）'後面未加上引號。

當我使用下面的代碼將記錄添加到我的數據庫時，實際上我總是每次都使用此代碼，現在它不工作。

我希望你能弄清楚這個錯誤的原因。謝謝...下面的代碼如下：

protected void Button1_Click(object sender, EventArgs e) 
{ 
    string conn = @"Data Source=.\SQLEXPRESS;AttachDbFilename=|DataDirectory|\Coldwind.mdf;Integrated Security=True;Connect Timeout=30;User Instance=True"; 
    SqlConnection connection = new SqlConnection(conn); 
    // SqlDataReader dr = new SqlDataReader(); 

    connection.Open(); 
    string sql = "INSERT INTO [CommentTab]([Name],[Comments]) Values('" + TextBox1.Text + "','" + TextBox2.Text + "')"; 
    SqlCommand cmd = new SqlCommand(sql, connection); 
    cmd.CommandType = CommandType.Text; 

    cmd.ExecuteNonQuery(); 
    cmd.Dispose(); 
    connection.Close(); 
    Response.Redirect("~/Default5.aspx"); 
} 

Answer 1

我認爲您的輸入包含quotation mark("'")本身。所以最好還是用雙 引號這樣

string Val1 =TextBox1.Text.Replace("'","''"); 

替換它們，然後在查詢中使用此值。

Answer 2

我認爲這個問題是在你插入的文本中。你可以發佈嗎？ 此外，我建議使用存儲過程並傳遞參數。

Answer 3

您的問題可能是因爲您直接傳遞用戶鍵入的字符串。例如，如果用戶使用單引號鍵入某些內容，則會產生錯誤。

請避免直接將帶有inline sql的用戶輸入字符串傳遞給數據庫。你很容易受到SQL注入攻擊。使用參數化查詢使您的查詢安全無錯。你可以修改你的代碼如下。

//Your code 
connection.Open(); 
string sql = "INSERT INTO [CommentTab]([Name],[Comments]) Values(@username,@comments)"; 
SqlCommand cmd = new SqlCommand(sql, connection); 
cmd.CommandType = CommandType.Text; 
cmd.Parameters.AddWithValue("@username", TextBox1.Text); 
cmd.Parameters.AddWithValue("@comments", TextBox2.Text); 

cmd.ExecuteNonQuery(); 
cmd.Dispose(); 
connection.Close(); 
Response.Redirect("~/Default5.aspx");