1

我有一个连接到访问数据库的小程序,我想做的是通过编辑表单更新(编辑)选定的记录。当我执行我的代码时,我得到这个错误:

System.Data.OleDb.OleDbException was unhandled
  Message=Syntax error (missing operator) in query expression '5346 S. Eubank blvd'.
  Source=Microsoft Access Database Engine
  ErrorCode=-2147217900

不用说,它是为地址字段..

这是我的代码块:

private void saveChangeBtn_Click(object sender, EventArgs e)
{
    Customer.SetCustID(Convert.ToInt32(editIdTB.Text));
    Customer.SetFirstName(editFirstNameTB.Text);
    Customer.SetLastName(editFirstNameTB.Text);
    Customer.SetAddress(editAddressTB.Text);
    Customer.SetPhoneNum(editPhoneTB.Text);
    Customer.SetEmail(editEmailTB.Text);

    using (OleDbConnection connect = new OleDbConnection(connectionString))
    {
        OleDbCommand cmd = new OleDbCommand();
        connect.Open();

        cmd.Connection = connect;
        cmd.CommandText = "UPDATE Customers SET [Customer ID]=" + Customer.GetCustId() +
            ", [First Name]=" + Customer.GetFirstName() +
            ", [Last Name]=" + Customer.GetLastName() +
            ", [Address]=" + Customer.GetAddress() +
            ", [Phone Number]=" + Customer.GetPhoneNum() +
            ", [Email Address]=" + Customer.GetEmailAddress() + 
            ", WHERE [Customer ID]=" + editIdTB.Text + "";
        cmd.ExecuteNonQuery();
        connect.Close();
        MessageBox.Show("Changes made successfully!", "Success!", MessageBoxButtons.OK);
    }
    this.Close();
}
4

4 回答 4

0

我认为您遇到的问题是 WHERE 之前的逗号。尝试删除它并尝试一下。

如果您可以捕获您正在执行的确切 sql,并尝试在查询浏览器中运行它,那么诊断会更容易。

另外,我建议您在构建 sql 时使用 string.format。要获得更好的解决方案,请尝试使用 LINQ to SQL 或实体框架。

于 2012-12-16T04:20:00.323 回答
0

试试这个

cmd.CommandText = "UPDATE Customers SET [First Name]='" + Customer.GetFirstName() +
            "', [Last Name]='" + Customer.GetLastName() +
            "', [Address]='" + Customer.GetAddress() +
            "', [Phone Number]='" + Customer.GetPhoneNum() +
            "', [Email Address]='" + Customer.GetEmailAddress() + 
            "' WHERE [Customer ID]=" + editIdTB.Text;
于 2012-12-16T04:35:22.597 回答
0

您需要在值周围加上引号。这应该解决这里的主要问题。

但是,这里有一个相当大的安全漏洞。google "sql injection" 你会看到一个坏人可以通过将恶意文本放入 editIfTB 文本框来严重破坏你的一周

于 2012-12-16T04:37:04.857 回答
0

除了安全漏洞之外,这种方式构建查询仍然会存在稳定性问题。只要您的数据字段之一包含撇号,SQL 就会再次中断(例如姓 O'Neill)。最佳实践是通过参数提供所有数据值;它避免了在所有这些单引号/撇号中连接的需要,不会对数据值敏感,也不会存在安全漏洞。

于 2013-06-18T15:03:52.010 回答