堆栈内存溢出
  繁体   English   中英

asp.net中','附近的语法不正确?

[英]Incorrect syntax near ',' error in asp.net?

 原文  2014-06-17 04:46:43       c#/ asp.net

问题描述

这是我在Asp.Net和C#中的代码。 我正在尝试从2小时内找出此错误,但找不到。

任何帮助都将受到赞赏。 

using System;
using System.Collections.Generic;
using System.Linq;
using System.Web;
using System.Web.UI;
using System.Web.UI.WebControls;
using System.Data.SqlClient;
using System.Data;

public partial class Result : System.Web.UI.Page
{
    SqlConnection con;
    SqlCommand cmd;
    SqlDataReader dr;

    string city1, area1, type1, min, max;
    int id;

    protected void Page_Load(object sender, EventArgs e)
    {
       city1 = Request.QueryString["city"];
       area1 = Request.QueryString["area"];
       // type1 = Request.QueryString["propertytype"];
       type1= "1bhk";
       min = Request.QueryString["minprice"];
       max = Request.QueryString["maxprice"];
       //  id = Convert.ToInt32(Request.QueryString["uid"]);
       id = 1;

       con = new SqlConnection("integrated security=true; database=data1; server=sudhir-pc");
       con.Open();

       cmd = new SqlCommand("select price,area,imagename,users_id from property where city='"+city1+"', area='"+area1+"', propertytype='"+type1+"', users_id="+id+"", con);
       //  cmd1 = new SqlCommand("select frstname,laststname,contactno from users where users_id='"+id+"'", con);

       dr = cmd.ExecuteReader();

       while (dr.Read())
       {
           Label1.Text = (string)dr["price"];
           string area = (string)dr["area"];
           string image = (string)dr["imagename"];
           int id1 = (int)dr["users_id"];
       }
    }
}

错误行是dr=cmd.executereader(); 相同查询在sql服务器上运行。 这种错误可以合乎逻辑吗?

3 个解决方案

解决方案1
 4 已采纳  2014-06-17 04:48:05

在命令中用替换逗号 

cmd = new SqlCommand("select price,area,imagename,users_id from property where city='"+city1+"', area='"+area1+"', propertytype='"+type1+"', users_id="+id+"", con);

会成为 

cmd = new SqlCommand("select price,area,imagename,users_id from property where city='"+city1+"' and area='"+area1+"' and propertytype='"+type1+"' and users_id="+id+"", con);

一部分是,这不是您应该如何做的方式。 您应该始终使用Paremeterized查询。 您可以在这里这里阅读该书的优点。

解决方案2
 2  2014-06-17 05:24:35

您必须使用, and在条件不是逗号的情况下使用

您正处于SQL注入攻击中 ..始终使用参数化查询 

cmd = new SqlCommand("select price,area,imagename,users_id from property where 
                       city=@city1 and area=@area1 and 
                       propertytype=@type1 and users_id=@id", con);
cmd.Parameters.AddWithValue("@city1",city1);
cmd.Parameters.AddWithValue("@area1",area1);
cmd.Parameters.AddWithValue("@type1",type1);
cmd.Parameters.AddWithValue("@id",id);
dr = cmd.ExecuteReader();

解决方案3
 0  

您可以尝试以下方法: 

cmd = new SqlCommand("select price,area,imagename,users_id from property where city=@city and area=@area and propertytype=@proprtytype and users_id=@userid ", con);
cmd.Parameters.AddWithValue("@city", city1);
cmd.Parameters.AddWithValue("@area", area1);
cmd.Parameters.AddWithValue("@propertytype", type1);
cmd.Parameters.AddWithValue("@userid", id);

   //  cmd1 = new SqlCommand("select frstname,laststname,contactno from users where users_id='"+id+"'", con);

   dr = cmd.ExecuteReader();

暂无
暂无

声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.

相关问题 “'='附近的语法不正确”运行时错误C#asp.net 关键字“Key”附近的语法不正确。 ASP.net 出现错误 详情查看 ASP.NET SqlDataReader附近的语法不正确 使用asp.net第2部分的关键字“ join”附近的语法不正确 SqlException:asp.net mvc 核心中@VariableName 附近的语法不正确 为什么在ASP.net中,关键字“ INNER”附近出现“语法不正确”错误? 试图从后面的代码访问ASP.Net变量时,在'<'错误附近存在错误的语法 不正确的语法ASP.NET 使用asp.net从'数据库中检索数据'('user'附近的语法错误) C#、ASP.NET 核心 | SqlException: 关键字“TOP”附近的语法不正确
相关标签
 
粤ICP备18138465号  © 2020-2024 STACKOOM.COM