1. дома
  2. Вопрос и ответ
  3. Оператор C# SQL не работает

Оператор C# SQL не работает

2016-11-21 2 views
-1

Когда я выполняю команду для вставки значений таблицы данных в базу данных SQL Server, я получаю сообщение об ошибке.Оператор C# SQL не работает

Неправильный синтаксис вблизи ','.

Мой код:

for (int i = 1; i < dt.Rows.Count; i++) // i = 1 instead of 0 because of the header row 
{ 
    wipSql = "INSERT INTO tblWIP ([FSR Number], [Customer Name], REGN_NM, SUBREGN_NM, [EMP/SUPPLIER Name], [INVTY DATE], " + 
      "[COST CATEGORY], [PL&M AMOUNT], [LABOR AMOUNT], [T&L PERDIEM], [MEMO COST], [EDI SEQ#], [INVOICE NUMBER], [Grand Total], Age, Business) " + 
      "VALUES ('" 
         + dt.Rows[i]["FSR Number"].ToString().Trim() + "', '" 
         + dt.Rows[i]["Customer Name"].ToString().Trim() + "', '" 
         + dt.Rows[i]["REGN_NM"].ToString().Trim() + "', '" 
         + dt.Rows[i]["SUBREGN_NM"].ToString().Trim() + "', '" 
         + dt.Rows[i]["EMP/SUPPlier Name"].ToString().Trim() + "', '" 
         + dt.Rows[i]["INVTY DATE"].ToString().Trim() + "', '" 
         + dt.Rows[i]["COST CATEGORY"].ToString().Trim() + "', " 
         + dt.Rows[i]["PL&M AMOUNT"].ToString().Trim() + ", " 
         + dt.Rows[i]["LABOR AMOUNT"].ToString().Trim() + ", " 
         + dt.Rows[i]["T&L PERDIEM"].ToString().Trim() + ", " 
         + dt.Rows[i]["MEMO COST"].ToString().Trim() + ", '" 
         + dt.Rows[i]["EDI SEQ#"].ToString().Trim() + "', '" 
         + dt.Rows[i]["INVOICE NUMBER"].ToString().Trim() + "', " 
         + dt.Rows[i]["Grand Total"].ToString().Trim() + ", " 
         + dt.Rows[i]["Age"].ToString().Trim() + ", '" 
         + dt.Rows[i]["Business"].ToString().Trim() + "')"; 

    SqlCommand cmdWIP = new SqlCommand(wipSql, localConnection); 
    cmdWIP.ExecuteNonQuery(); 
}

источник

2016-11-21 swridings

+7

вы пытались напечатать 'wipSql' и увидеть результирующий выходной запрос? рекомендуемым способом было бы использовать sql-параметры, а не добавлять строки для создания инструкции sql – ughai

+0

на основе вашей ошибки. Я чувствую, что вам не хватает некоторых цитат. –

+2

+1 для рекомендации ughai по использованию параметров. Вы оставляете себя открытым для ошибок, если имя клиента содержит цитату (например, «O'Connor») и для атак SQL-инъекций. См. Https://msdn.microsoft.com/en-us/library/system.data.sqlclient.sqlcommand.prepare(v=vs.110).aspx – racraman

ответ

1

Попробуйте это,

string wipSql = string.Empty; 

     for (int i = 1; i < dt.Rows.Count; i++) // i = 1 instead of 0 because of the header row 
     { 
      wipSql = "INSERT INTO tblWIP ([FSR Number], [Customer Name], REGN_NM, SUBREGN_NM, [EMP/SUPPLIER Name], [INVTY DATE], [COST CATEGORY], [PL&M AMOUNT], [LABOR AMOUNT], [T&L PERDIEM], [MEMO COST], [EDI SEQ#], [INVOICE NUMBER], [Grand Total], Age, Business) VALUES(@FSRNumber, @CustomerName, @REGN_NM, @SUBREGN_NM, @SupplierName, @InventoryDate, @CostCategory, @PLMAmount, @LaborAmount, @TLPerdiem, @MemoCost, @Ediseq, @InvoiceNumber, @GrandTotal, @Age, @Business)"; 

      SqlCommand cmdWIP = new SqlCommand(wipSql, localConnection); 
      cmdWIP.Parameters.AddWithValue("@FSRNumber", dt.Rows[i]["FSR Number"].ToString().Trim()); 
      cmdWIP.Parameters.AddWithValue("@CustomerName", dt.Rows[i]["Customer Name"].ToString().Trim()); 
      cmdWIP.Parameters.AddWithValue("@REGN_NM", dt.Rows[i]["REGN_NM"].ToString().Trim()); 
      cmdWIP.Parameters.AddWithValue("@SUBREGN_NM", dt.Rows[i]["SUBREGN_NM"].ToString().Trim()); 
      cmdWIP.Parameters.AddWithValue("@SupplierName", dt.Rows[i]["EMP/SUPPlier Name"].ToString().Trim()); 
      cmdWIP.Parameters.AddWithValue("@InventoryDate", dt.Rows[i]["INVTY DATE"].ToString().Trim()); 
      cmdWIP.Parameters.AddWithValue("@CostCategory", dt.Rows[i]["COST CATEGORY"].ToString().Trim()); 
      cmdWIP.Parameters.AddWithValue("@PLMAmount", dt.Rows[i]["PL&M AMOUNT"].ToString().Trim()); 
      cmdWIP.Parameters.AddWithValue("@LaborAmount", dt.Rows[i]["LABOR AMOUNT"].ToString().Trim()); 
      cmdWIP.Parameters.AddWithValue("@TLPerdiem", dt.Rows[i]["T&L PERDIEM"].ToString().Trim()); 
      cmdWIP.Parameters.AddWithValue("@MemoCost", dt.Rows[i]["MEMO COST"].ToString().Trim()); 
      cmdWIP.Parameters.AddWithValue("@Ediseq", dt.Rows[i]["EDI SEQ#"].ToString().Trim()); 
      cmdWIP.Parameters.AddWithValue("@InvoiceNumber", dt.Rows[i]["INVOICE NUMBER"].ToString().Trim()); 
      cmdWIP.Parameters.AddWithValue("@GrandTotal", dt.Rows[i]["Grand Total"].ToString().Trim()); 
      cmdWIP.Parameters.AddWithValue("@Age", dt.Rows[i]["Age"].ToString().Trim()); 
      cmdWIP.Parameters.AddWithValue("@Business", dt.Rows[i]["Business"].ToString().Trim()); 


      cmdWIP.ExecuteNonQuery(); 
     }

источник

2016-11-21 08:43:34

+0

Это сработало !!! Спасибо огромное! – swridings

6

Start с использованием параметров запроса и проблемы, как это будет избежать, и вы будете защищены от SQL инъекций. Также начните использовать @, это даст вам возможность написать строку на нескольких строках.

wipSql = @"INSERT INTO 
      tblWIP ([FSR Number], [Customer Name], REGN_NM, SUBREGN_NM, [EMP/SUPPLIER Name], [INVTY DATE], [COST CATEGORY], [PL&M AMOUNT], [LABOR AMOUNT], [T&L PERDIEM], [MEMO COST], [EDI SEQ#], [INVOICE NUMBER], [Grand Total], Age, Business) 
      VALUES 
       (@Number, @Name, @Regn_NM, .... and so on)"; 

//after that here 
SqlCommand cmdWIP = new SqlCommand(wipSql, localConnection); 
cmdWIP.Parameters.AddWithValue(@Number, dt.Rows[i]["FSR Number"].ToString().Trim()); 
cmdWIP.Parameters.AddWithValue(@Name, dt.Rows[i]["Customer Name"].ToString().Trim()); 
cmdWIP.Parameters.AddWithValue(@Regn_NM, dt.Rows[i]["REGN_NM"].ToString().Trim()); 
//and so on for other parameters

источник

2016-11-21 05:50:35 mybirthname

+0

Рекомендуемое чтение: [SQL Injection] (https://www.owasp.org/index .php/SQL_Injection # Example_2) –

 Смежные вопросы

  • Нет связанных вопросов^_^