C# 中的 SQL 查询（System.Data.OleDb.OleDbException：'查询表达式中的语法错误（缺少运算符））

Question

OleDbCommand commandtwo = new OleDbCommand("SELECT * from tblShowings WHERE ShowFilmID = " + filmID.Text + " AND Showdate = " + date.Text + " AND Showtime = " + time.Text + "", con);

我的 SQL 查询有什么问题？ 我不断收到此错误：

System.Data.OleDb.OleDbException: '查询表达式中的语法错误（缺少运算符）'ShowFilmID = 1111 AND Showdate = 67/87/9999 AND Showtime = 10:00'

Answer 1

您当前的代码容易受到 Sql 注入的影响。 您应该使用参数化查询来避免 sql 注入和正确处理值类型。

您的代码中的错误是因为您缺少'字符串值类型'单引号。

"ShowFilmID = '" + date.Text + "'" + ...

这是您应该如何使用参数化查询的示例：

OleDbCommand command = new OleDbCommand(
  "SELECT * from tblShowings WHERE ShowFilmID = ? AND Showdate = ? AND Showtime = ?", con);
OleDbParameterCollection paramCollection = command.Parameters;
OleDbParameter myParm = paramCollection.Add(
        new OleDbParameter("ShowFilmID", filmID.Text),
        new OleDbParameter("Showdate", date.Text),
        new OleDbParameter("Showtime", time.Text));

Answer 2

只是从安全角度考虑的一点。 您需要确保您的数据输入/输出经过验证/清理以避免被利用。 理想的过程是存储过程和参数化值。 如果这是不可能的，请确保您已对您的值进行编码以避免 SQL 注入。 只值我的 2 美分。