在更新字符串中将 varchar 转换为数字时出错

Question

我的更新代码有问题，将 varchar 转换为数字时出错，导致异常。它正在处理两个表。

table1(WEB_ADDRESS) 包含发送到地理编码 API 服务的地址信息。

|PKID | ADDRESS_ID | ADDRESS_1 | CITY | etc...

table2(WEB_ADDRESS_GEO) 包含从 API 服务接收的纬度和经度。

ADDRESS_ID | Lat | Lng

我需要用 lats 和 lngs 更新表 2 中的数据行，以匹配表 1 中的地址数据。

这里是代码

  using (SqlConnection myConnection = new SqlConnection(context))
  {
      myConnection.Open();
      string strQueryUpdate = "UPDATE WEB_ADDRESS_GEO SET Lat = '" + strLat + "', Lng = '" + strLng + "'" + "WHERE ADDRESS_ID=" + row.ADDRESS_ID;
      SqlCommand myCommandUpdate = new SqlCommand(strQueryUpdate, myConnection);
      myCommandUpdate.ExecuteNonQuery();

ADDRESS_ID 列是 VarChar 类型，Lat 和 Lng 是十进制类型。

注意：避免 sql 注入，因为永远不会有用户输入。

Answer 1

如果ADDRESS_ID 是VarChar，则需要用单引号加上like;

"WHERE ADDRESS_ID= '" + row.ADDRESS_ID + "'"

如果Lat 和Lng 是decimal，则不需要对它们使用单​​引号。

SET Lat = " + strLat + ", Lng = " + strLng

作为更好的方法，请使用parameterized queries。这种字符串连接对SQL Injection 攻击开放。

using(SqlConnection myConnection = new SqlConnection(context))
using(SqlCommand myCommandUpdate = conn.CreateCommand())
{
   myCommandUpdate.CommandText = @"UPDATE WEB_ADDRESS_GEO SET Lat = @lat, Lng = @lng 
                                  WHERE ADDRESS_ID = @address";
   myCommandUpdate.Parameters.Add(@lat, SqlDbType.Decimal).Value = strLat;
   myCommandUpdate.Parameters.Add(@lng, SqlDbType.Decimal).Value = strLng;
   myCommandUpdate.Parameters.Add(@address, SqlDbType.VarChar).Value = row.ADDRESS_ID;
   myConnection.Open();
   myCommandUpdate.ExecuteNonQuery();
}

但是从你的变量名来看，strLat 和strLng 听起来确实像一些字符值，而不是数值。这与您的 row.ADDRESS_ID 值相反。 大部分该变量包含ID 作为数值中使用的名称，而不是字符。