Данные из поля ввода, не вставляемого в базу данных

Question

Я сделал эту форму для вставки информации в базу данных. Я не знаю, откуда исходит ошибка. Он не вставляет информацию из полей ввода в базу данных.

Вот мой код:

Protected Sub Button1_Click(ByVal sender As Object, ByVal e As System.EventArgs) Handles Button1.Click 
     Dim id, name, description, code, cat_industry, cat_theme, cat_occasion, cat_budget As String 
     id = product_id.Text 
     name = product_name.Text 
     description = product_description.Text 
     code = item_code.Text 
     cat_industry = industry.SelectedValue 
     cat_theme = theme.SelectedValue 
     cat_occasion = occasion.SelectedValue 
     cat_budget = budget.SelectedValue 

     Try 
      Dim str1 As String = "insert into product (ID, Product_Name, Product_Description, Item_Code, Industry, Theme, Occasion, Budget) values ('" + id + "', '" + name + "', '" + description + "', '" + code + "', '" + cat_industry + "', '" + cat_theme + "', '" + cat_occasion + "', '" + cat_budget + "')" 
      con.Open() 
      Dim cmd As New SqlCommand(str1, con) 
      cmd.ExecuteNonQuery() 
      con.Close() 
     Catch ex As Exception 
      Response.Write(ex) 
     End Try 
    End Sub 

Answer 1

Ваши имена столбцов не могут ссылаться как Product Name и Product Description с пространством - вам нужно будет бежать как [Product Name], [Product Description] и т.д.

Но, пожалуйста, воздержитесь от вставки данные напрямую - вместо этого вы должны быть parameterizing ваших входных переменных. Это имеет преимущество как с точки зрения производительности, так и с точки зрения безопасности (Sql Injection).

Dim str1 As String = "insert into product (ID, [Product Name], [Product Description], Item_Code, etc) " _ 
         " values (@id, @name, @description, @code, etc)" 
con.Open() 
Dim cmd As New SqlCommand(str1, con) 
cmd.Parameters.AddWithValue("@id", id) 
cmd.Parameters.AddWithValue("@name", name) 
... etc 
cmd.ExecuteNonQuery()