Ошибка с SqlDataReader

Question

C#, Razor

мой код:

@using (SqlConnection Praktikum2 = new SqlConnection("Data Source=Mark\\SQLEXPRESS;Initial Catalog=Connection;Integrated Security=True")) 
{ 

using(connection) 
{ 
    SqlCommand command = new SqlCommand("SELECT KategoryID FROM Kategory WHERE Name = " + Request.Params["kategory"]); 

    connection.Open(); 
    SqlDataReader reader = command.ExecuteReader(); //ERROR!!! 
    while (reader.Read()) 
    { 
     string ID = reader["KategorieID"].ToString() ; 

     Console.WriteLine("ID = {0}", ID); 
    } 
    reader.Close(); 
}; 
} 

я получаю сообщение об ошибке, что есть неправильный синтаксис около "=".

как я могу это решить?

Answer 1

Если столбец kategory не типа данных целого числа, то вам необходимо окружить значение с ('), т.е. одиночными кавычками

Тогда ваш запрос будет как

SqlCommand command = new SqlCommand("SELECT KategoryID FROM Kategory WHERE Name ='" + Request.Params["kategory"] + "'"); 

Answer 2

Вы забыли назначить connection - command. Поэтому, когда вы звоните ExecuteReader(), он не знает, по какому соединению он должен быть выполнен.

Вы можете назначить соединение, как это:

SqlCommand command = new SqlCommand(
      "SELECT KategoryID FROM Kategory WHERE Name = " + Request.Params["kategory"], 
      connection); // provide connection as second parameter! 

или использовать connection.CreateCommand() создать команду.

Во-вторых, вы забыли кавычки вокруг вашей строки:

 "SELECT KategoryID FROM Kategory WHERE Name = '" + Request.Params["kategory"] + "'" 

но вставки пользовательских данных непосредственно в запросе открывает свой код SQL Injection. Вместо этого используйте параметризованные запросы.

Answer 3

Проблема вызвана отсутствующими котировками вокруг значения, переданного для вашего поиска. Вы можете добавить набор одиночных кавычек до и после значения, полученного в запросе, но это будет большая ошибка и источник проблемы Sql Injection.

Единственный способ справиться с этим, чтобы использовать параметр запроса

SqlCommand command = new SqlCommand(@"SELECT KategoryID FROM Kategory 
             WHERE Name = @name", connection); 
command.Parameters.Add("@name", SqlDbType.NVarChar).Value = Request.Params["kategory"]; 

Кроме того, как отмечалось в другом ответе, ваш код, кажется, не ассоциировали соединение с командой, я думаю, что это просто опечатка здесь, потому что сообщение об ошибке в этом случае было бы «нужно открытое соединение»

Answer 4

Исключение вызвано тем, как вы создаете свой SQL-оператор. Исправление не должно корректировать синтаксис, но вместо этого использовать параметры. Это предотвратит атаки SQL-инъекций.

Также

1. Вы действительно не должны быть сочинительство SQL в ваших взглядах, сделайте это в методе контроллера вместо этого и возвращать результат в модели, которые будут использоваться в вашем представлении. Еще лучше отвлеките его на другой слой и вызовите этот слой с вашего контроллера. Это связано с SoS (Разделение проблем), ваш код будет очень сложно поддерживать, если вы просто напишете все в своих представлениях.
2. Заверните свои соединения, команды и считыватели в блоках using.

Модифицированный код

@{ 
    using(SqlConnection Praktikum2 = new SqlConnection("Data Source=Mark\\SQLEXPRESS;Initial Catalog=Connection;Integrated Security=True")) 
    using(SqlCommand command = new SqlCommand("SELECT KategoryID FROM Kategory WHERE Name = @name", Praktikum2)) 
    { 
     command.Parameters.Add(new SqlParameter("@name", SqlDbType.VarChar){ Value = Request.Params["kategory"]}); 
     connection.Open(); 
     using(SqlDataReader reader = command.ExecuteReader()) 
     { 
      while (reader.Read()) 
      { 
       string ID = reader["KategorieID"].ToString() ; 
       Console.WriteLine("ID = {0}", ID); 
      } 
     } 
    } 
}