使用會話無法更新C#SQL更新數據庫
[英]Updating Database with sessions not working C# SQL
問題描述
因此,我的代碼顯示了搜索的講師用戶ID和用戶先前選擇的ModuleID。 但是,它在這條線上中斷了;
myCommand.ExecuteNonQuery();
錯誤是;
An exception of type 'System.Data.SqlClient.SqlException' occurred in System.Data.dll but was not handled in user code
Additional information: Incorrect syntax near '('.
我不知道為什么這樣做,但是我可以看到使用斷點時我的東西被拖了過來。
前端代碼:
<asp:SqlDataSource ID="SqlDataSource1" runat="server" ConnectionString="<%$ ConnectionStrings:DefaultConnection %>"
SelectCommand="SELECT Lecturer_Records.UserID, Lecturer_Records.FirstName, Lecturer_Records.Surname, Lecturer_Records.PhoneNumber, Users.Email
FROM Lecturer_Records
INNER JOIN Users ON Lecturer_Records.UserID = Users.UserID
WHERE (Users.Email = @email)">
<SelectParameters>
<asp:QueryStringParameter Name="email" QueryStringField="searchlects" />
<asp:SessionParameter Name="ModuleID" SessionField="ModuleID" Type="Int32" />
</SelectParameters>
</asp:SqlDataSource>
<asp:GridView ID="SearchResult" runat="server" AutoGenerateColumns="False" AutoGenerateSelectButton="True" DataSourceID="SqlDataSource1" OnSelectedIndexChanged="SearchResult_SelectedIndexChanged">
<Columns>
<asp:BoundField DataField="UserID" HeaderText="UserID" SortExpression="UserID" />
<asp:BoundField DataField="FirstName" HeaderText="FirstName" SortExpression="FirstName" />
<asp:BoundField DataField="Surname" HeaderText="Surname" SortExpression="Surname" />
<asp:BoundField DataField="PhoneNumber" HeaderText="PhoneNumber" SortExpression="PhoneNumber" />
<asp:BoundField DataField="Email" HeaderText="Email" SortExpression="Email" />
</Columns>
</asp:GridView>
還有我的C#代碼
protected void SearchResult_SelectedIndexChanged(object sender, EventArgs e)
{
// open new connection
SqlConnection connection1 = new SqlConnection(ConfigurationManager.ConnectionStrings["DefaultConnection"].ConnectionString);
connection1.Open();
string SearchUser = SearchResult.SelectedRow.Cells[1].Text;
string Module = (string)Session["ModuleID"];
SqlCommand myCommand = new SqlCommand("UPDATE [Modules] SET (UserID = '" + SearchUser + "') WHERE (ModuleID = '" + Module + "')", connection1);
myCommand.ExecuteNonQuery();
// move on to home page
Response.Redirect("APMDefault.aspx");
}
1 個解決方案
解決方案1
1 已采納 2015-11-19 12:11:35
您的命令中不需要任何(或) 。 它們破壞了您的sql語法。 只需刪除它們。
但更重要的是,您應始終使用參數化查詢 。 這類字符串連接對SQL注入攻擊開放。
根據您的列名,它們似乎是數字類型。 這意味着,您可能還需要刪除單引號。 如果使用准備好的語句 ,則當然不需要。
並使用using語句配置您的連接和命令。
using(var connection1 = new SqlConnection(ConfigurationManager.ConnectionStrings["DefaultConnection"].ConnectionString))
using(var myCommand = connection1.CreateCommand())
{
myCommand.CommandText = @"UPDATE Modules SET UserID = @userid
WHERE ModuleID = @moduleid";
myCommand.Parameters.Add("@userid", SqlDbType.NVarChar).Value = SearchUser;
myCommand.Parameters.Add("@moduleid", SqlDbType.NVarChar).Value = Module;
// I assumed your column types are nvarchar
connection1.Open();
myCommand.ExecutenonQuery();
// move on to home page
Response.Redirect("APMDefault.aspx");
}
但實際上 ,這些列似乎是數字類型。 您可以輸入其類型,也可以更改其名稱以將其類型指向字符。
從DataGridView C#更新SQL數據庫
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.