我正在 SQL Server Express 中执行一条 SQL 语句
insert into dscl_sql_log (user_name, sql_time, sql)
values ('ADMIN', '2/17/2014 7:05:45 PM', 'select * from cn_fieldsurvey_trn where unit_code = '03' and rownum < 10')
它给出了一个错误消息**incorrect syntax near '03'**
【问题讨论】:
= ''03''周围使用双倍配额
标签: sql tsql sql-server-express
insert into dscl_sql_log (user_name, sql_time, sql) values ('ADMIN', '2/17/2014 7:05:45 PM', 'select * from cn_fieldsurvey_trn where unit_code = ''03'' and rownum < 10')
如果您从文本框中获取值,那么强烈建议使用参数化查询来防止 SQL 注入攻击,并避免在传递的值中显式转义单个字符。
string query= @"insert into dscl_sql_log (user_name, sql_time, sql) values " +
" (" +
@"'ADMIN', '2/17/2014 7:05:45 PM',@sql "+
")";
using (var cmd = new SqlCommand(query, conn))
{
cmd.Parameters.AddWithValue("@sql", txtbox.Text);
cmd.ExecuteNonQuery();
}
【讨论】:
string LogQry = "insert into dscl_sql_log (user_name, sql_time, sql) values ('"+user_code+"', '" + DateTime.Now + "', '"+SqlText.ToString()+"')";是我在.cs页面中的代码。
您需要用 2 个引号替换该引号,由于没有转义引号,您会收到错误。
insert into dscl_sql_log (user_name, sql_time, sql) values
('ADMIN', '2/17/2014 7:05:45 PM',
replace('select * from cn_fieldsurvey_trn where unit_code = '03' and rownum < 10','''',''''''))
【讨论】:
或者你可以这样使用:
insert into dscl_sql_log (user_name, sql_time, sql)
values ('ADMIN', '2/17/2014 7:05:45 PM', 'select * from cn_fieldsurvey_trn where unit_code = ' + '03' + ' and rownum < 10')
但要小心 SQL 注入问题,就像他们说的那样!
【讨论】:
尝试:
insert into dscl_sql_log (user_name, sql_time, sql)
values ('ADMIN', '2/17/2014 7:05:45 PM', 'select * from cn_fieldsurvey_trn where unit_code = ''03'' and rownum < 10')
在字符串中使用 2 引号。
【讨论】: