從字符串中轉換日期和/或時間時DateTime轉換失敗

Question

我試圖運行以下簡單的SQL查詢來選擇兩個日期之間的數據。來自以下DateTimePickers日期：DTP_From，DTP_To

 DateTime startDate = DTP_From.Value.Date; 
     DateTime endDate = DTP_To.Value.Date; 
     SqlConnection con = new SqlConnection(strConnection); 
     con.Open(); 
     SqlCommand sqlCmd = new SqlCommand(); 
     sqlCmd.Connection = con; 
     sqlCmd.CommandType = CommandType.Text; 
     sqlCmd.CommandText = "SELECT * From Report_Sales where Date >= '" + startDate + "' AND Date <= '" + endDate + "'"; 

當執行查詢我得到以下錯誤：

datetime conversion failed when converting date and/or time from character string

如何運行上面的查詢無錯？

Answer 1

參數化您的查詢以避免這樣的問題。

sqlCmd.CommandText = "SELECT * From Report_Sales where Date >= @startDate AND Date <= @endDate"; 
sqlCmd.Parameters.AddWithValue("@startDate", startDate); 
sqlCmd.Parameters.AddWithValue("@endDate", endDate); 

Answer 2

如果你不按照格蘭特Winney的優秀建議parametise您的疑問，這也將幫助你避免其他攻擊的威脅;包括DateTime數據到它需要使用ISO 8601的風格被格式化的Transact-SQL查詢：

YYYY-MM-DDThh:mm:ss.nnn[Z]

即

SELECT * 
FROM Report_Sales 
WHERE Date >= '2014-04-18T21:26:01Z' 
AND Date <= '2014-04-18T22:26:01Z'