Вставка SQL Значение в таблицу базы данных

Question

Я получаю следующую ошибку

синтаксиса не правильный номер рядом пункта

, но я не вижу ничего плохого, значения вставляются взято из набор данных, содержащий имена полей в переменных из другого SQL-запроса, который в настоящее время проходит через цепь затем вставляется в другую таблицу, как так ....

string strOrderDetails = 
    "INSERT INTO Orders (Order Number, Item Number, Description, Price) " + 
    "VALUES ('" + strOrderNo.Replace("'", "''").ToString() + "', '" 
      + intItemNo + "', '" 
      + strDesc.Replace("'", "''").ToString() + "', '" 
      + decPrice + "')"; 

Об исполнении выше, где код падает и заявляет, что есть ошибка рядом с номером позиции слова?

Нужно ли что-то делать с intItemNo, так как это целое число?

Answer 1

Когда столбец содержит пробелы, нужно заключить его в квадратные скобки или другой разделитель для Выбирается базы данных

Но сказал, что, пожалуйста, не используйте конкатенации для создания SQL команды, но всегда параметризованный запрос.

string strOrderDetails = "INSERT INTO Orders ([Order Number], [Item Number]," + 
         "Description, Price) VALUES (@ordNum, @temNo, @desc, @price"; 
using(SqlConnection cn = new SqlConnection(conString)) 
using(SqlCommand cmd = new SqlCommand(strOrderDetails, cn)) 
{ 
    cn.Open(); 
    cmd.Parameters.AddWithValue("@ordNum",strOrderNo); 
    cmd.Parameters.AddWithValue("@itemNo",intItemNo); 
    cmd.Parameters.AddWithValue("@desc",strDesc); 
    cmd.Parameters.AddWithValue("@price", decPrice); 
    cmd.ExecuteNonQuery(); 
} 

Как вы могли заметить, используя параметры устраняют необходимость написания кода для обработки кавычки входных значений, а также исключить возможность Sql Injection атак