Я пишу следующий код в своем приложении формы C-Sharp и давая мне следующую ошибку.Ошибка синтаксиса в инструкции INSERT INTO
> Syntax error in INSERT INTO statement.
OleDbCommand cmd =
new OleDbCommand(
"Insert into Info (username, password) Values ('"
+ username
+ "', '"
+ password
+ "')"
, conn
);
Слово PASSWORD является зарезервированным ключевым словом. Чтобы использовать его, вы должны заключить строку в квадратных скобках
OleDbCommand cmd = new OleDbCommand("Insert into Info (username, [password]) Values ('" + username + "', '" + password + "')", conn);
И пожалуйста, пожалуйста, не использовать конкатенацию для построения SQL заявления. Это очень плохая практика, которая приводит к другим синтаксическим ошибкам (имя пользователя или пароль с одинарными кавычками) или худшее для SQL-инъекций. Возьмите look here к тому, что может произойти, если у вас есть умный и злоумышленник
OleDbCommand cmd = new OleDbCommand("Insert into Info (username, [password]) Values (?,?)", conn);
cmd.Parameters.AddWithValue("@p1", username);
cmd.Parameters.AddWithValue("@p2", password);
cmd.ExecuteNonQuery();
Возможно, в переменных имени пользователя или пароля есть недопустимый символ (например, одинарная кавычка). Убедитесь, что они дезинфицированы.
Это хороший момент, но лучший способ справиться с этой возможностью, чтобы использовать параметрический запрос, как предложил Стив. – HansUp
Вам необходимо снять кронштейн password. Это reserved word.
OleDbCommand cmd =
new OleDbCommand("Insert into Info (username, [password]) Values ('" + username + "', '" + password + "')", conn);
@HansUp - думал, что это имя пользователя, но пользователь является зарезервированным словом. Набирается слишком быстро. :) –
Да, 'имя пользователя' * выглядит * подозрительно. :-) А скобки не пострадали бы ... так что включение их не было проблемой. Вы заработали +1 на основе '[password]'. – HansUp
@HansUp спасибо! Да, квадратные скобки не болят (по крайней мере, я не думаю, что они это делают). –
Могу ли я также написать команду выбора, например, oledbCommand cmd = new oledbcommand («Выбрать * из таблицы, где id =? И пароль =?») –
Да, конечно, концепция такая же. Параметры должны всегда использоваться для передачи пользовательского текста ввода. Однако вы не можете использовать параметр для выражения имени таблицы или имени столбца. – Steve