''2' 附近的语法不正确。' [关闭]答案

【问题标题】：'Incorrect syntax near '2'.' [closed]''2' 附近的语法不正确。' [关闭]
【发布时间】：2018-10-25 15:39:52
【问题描述】：

我试图从基于 sql 的用户输入中检索行数并在 gridview 中显示

请帮忙！

Int32 text = Convert.ToInt32(this.Txtusers.Text);
con.Open();
cmd = new SqlCommand("select TOP '" + text + "' * from Avaya_Id where LOB = '" + DDLOB.SelectedItem.Value + "' and Status = 'Unassigned'", con);
SqlDataReader rdr = cmd.ExecuteReader();
GridView1.DataSource = rdr;
GridView1.DataBind();
con.Close();

【问题讨论】：

打印cmd 并将其包含在问题中。
SELECT TOP '2' ... 应该是 SELECT TOP 2 ...（不带引号）
以错字结尾
1. TOP 需要一个数字，但您将 text 设置在单引号中。 2.您的代码对SQL Injection开放。请使用参数化查询，而不是将用户输入直接放入查询字符串！
如果您使用sql-server，您可以将参数参数化为TOP，如C# SQL Top as parameter 和Dynamic SELECT TOP @var In SQL Server 所示。另请参阅Why do we always prefer using parameters in SQL statements?，了解为什么应始终使用参数化 SQL 查询，而不是使用用户输入直接构造查询。

标签： c# sql select

【解决方案1】：

这是应该如何写的。

int text;
if(int.TryParse(this.Txtusers.Text, out text)
{
    using(var con = new SqlConnection(connectionString)
    {
        using(var cmd  = new SqlCommand("select TOP (@top) * from Avaya_Id where LOB = @LOB and Status = 'Unassigned'", con))
        {
            cmd.Parameters.Add("@top", SqlDbType.Int).Value = text;
            cmd.Parameters.Add("@LOB", SqlDbType.Int).Value = DDLOB.SelectedItem.Value;
            con.Open();
            using(var rdr = cmd.ExecuteReader())
            {
                GridView1.DataSource = rdr;
                GridView1.DataBind();
            }
        }
    }
}

兴趣点：

使用参数来避免 Sql Injection 的风险。
将Convert.ToInt32 更改为int.TryParse。永远不要相信用户输入。
对每个实现IDisposable 接口的实例使用using 语句。
请注意，使用 top x 而不使用 order by 子句意味着您从数据库中获取 x 条任意记录 - 因为数据库表本质上是无序的，并且是确保从 select 返回的行的顺序的唯一方法语句是使用order by 子句。

请注意我已经猜到第二个参数是int，如果不是，请更改数据类型。

【讨论】：