0

这是我第一次使用 sql 和 asp.net。我正在研究一些示例,以确保我拥有所需的所有基础知识。我正在浏览一个教程,并且一切都应该正常工作,但我收到了一个 .ExecuteNonQuery() 错误。SqlException 未被用户代码处理 // 关键字“表”附近的语法不正确。

如果您有任何指示,请告诉我。我把教程工作了两次,我确定我在这里做错了什么。-谢谢

.CS 代码:

using System;
using System.Collections.Generic;
using System.Linq;
using System.Web;
using System.Web.UI;
using System.Web.UI.WebControls;
using System.Data.SqlClient;
using System.Configuration;

namespace WebSite
{
public partial class _default : System.Web.UI.Page
{
    SqlConnection con = new SqlConnection(ConfigurationManager.ConnectionStrings["ConnectionString"].ConnectionString);

    protected void Page_Load(object sender, EventArgs e)
    {
        con.Open();
    }

    protected void Button1_Click(object sender, EventArgs e)
    {
        SqlCommand cmd = new SqlCommand("insert into Table values('" + txtfName.Text + "','" + txtlName.Text + "','" + txtpNumber.Text + "')", con);
        cmd.ExecuteNonQuery();
        con.Close();
        Label1.Visible = true;
        Label1.Text = "Your DATA has been submitted";
        txtpNumber.Text = "";
        txtlName.Text = "";
        txtfName.Text = "";
    }
  }
}

.aspx 文件:

<form id="form1" runat="server">
<div class="auto-style1">

    <strong>Insert data into Database<br />
    <br />
    </strong>

</div>
    <table align="center" class="auto-style2">
        <tr>
            <td class="auto-style3">First Name:</td>
            <td class="auto-style4">
                <asp:TextBox ID="txtfName" runat="server" Width="250px"></asp:TextBox>
            </td>
        </tr>
        <tr>
            <td class="auto-style3">Last Name:</td>
            <td class="auto-style4">
                <asp:TextBox ID="txtlName" runat="server" Width="250px"></asp:TextBox>
            </td>
        </tr>
        <tr>
            <td class="auto-style3">Phone Number:</td>
            <td class="auto-style4">
                <asp:TextBox ID="txtpNumber" runat="server" Width="250px"></asp:TextBox>
            </td>
        </tr>
        <tr>
            <td class="auto-style3">&nbsp;</td>
            <td class="auto-style4">
                <asp:Button ID="Button1" runat="server" OnClick="Button1_Click" Text="Submit" Width="150px" />
            </td>
        </tr>
    </table>
    <br />
    <br />
    <asp:Label ID="Label1" runat="server" ForeColor="#663300" style="text-align: center" Visible="False"></asp:Label>
    <br />
    <asp:SqlDataSource ID="SqlDataSource1" runat="server" ConnectionString="<%$ ConnectionStrings:ConnectionString %>" SelectCommand="SELECT * FROM [Table]"></asp:SqlDataSource>
</form>

SQL 数据库:

CREATE TABLE [dbo].[Table] (
[Id]      INT          IDENTITY (1, 1) NOT NULL,
[fName]   VARCHAR (50) NOT NULL,
[lName]   VARCHAR (50) NOT NULL,
[pNumber] VARCHAR (50) NOT NULL,
PRIMARY KEY CLUSTERED ([Id] ASC)
);
4

4 回答 4

4

通常,此错误消息是由输入文本框中的单引号或使用保留关键字引起的。您的查询中存在这两个问题。TABLE 字是SQL Server 的保留关键字,因此您应该用方括号将其封装起来,而对于输入文本中可能存在单引号的情况,正确的方法是像这样使用参数化查询

SqlCommand cmd = new SqlCommand("insert into [Table] values(@fnam, @lnam, @pNum)", con);
cmd.Parameters.AddWithValue("@fnam", txtfName.Text );
cmd.Parameters.AddWithValue("@lnam", txtlName.Text );
cmd.Parameters.AddWithValue("@pNum", txtpNumber.Text);
cmd.ExecuteNonQuery();

使用这种方法,您可以将解析输入文本的工作转移到框架代码中,并避免解析文本和Sql 注入的问题

另外,我建议不要使用全局变量来保留 SqlConnection 引用。这是一种昂贵的资源,如果您忘记关闭并处置它,您可能会对应用程序的性能和稳定性产生重大影响。
对于这种情况,您真正需要的只是using 语句

using(SqlConnection con = new SqlConnection(ConfigurationManager.ConnectionStrings
                             ["ConnectionString"].ConnectionString));
{
    con.Open();
    SqlCommand cmd = new SqlCommand("insert into [Table] values(@fnam, @lnam, @pNum)", con);
    cmd.Parameters.AddWithValue("@fnam", txtfName.Text );
    cmd.Parameters.AddWithValue("@lnam", txtlName.Text );
    cmd.Parameters.AddWithValue("@pNum", txtpNumber.Text);
    cmd.ExecuteNonQuery();
}

当然去掉全局变量并在 Page_Load 中打开

于 2013-05-19T23:17:00.173 回答
3

您的查询正在尝试插入名为 Table 的表中。那真的存在吗?如果没有,则将实际表名放入查询中。如果您的表真的被称为表,那么我强烈建议您将其更改为不那么令人困惑的东西。

另外,现在通过连接文本来停止编写命令。了解如何使用参数来防止SQL 注入

编辑

插入语句使用BOL 文档中为 INSERT指定的格式以及其中提供的示例。表是一个关键字,所以不要用它作为表名。如果必须使用关键字,则需要使用方括号对其进行转义。请参阅BOL:分隔标识符

我还是要说,不要使用“Table”作为表的名称。让您的生活更轻松。

哦,编写安全代码(请参阅上面关于 SQL 注入的评论,以及Linked In 是如何被击中的,以及它们花了多少钱)

于 2013-05-19T23:19:54.070 回答
0

将“插入表值”更改为“插入 [表] 值”,一切正常。感谢自我,远离简单的名字。

于 2013-05-21T18:55:29.127 回答
-1

无论您在哪里使用 ExecuteNonQuery(),您都应该捕获 SqlException 或者您需要从您的函数中抛出异常。

在上面给出的情况下,Button1_Click是使用 SqlCommand 类中的 ExecuteNonQuery() 的函数。

现在这个函数 ( ExecuteNonQuery ) 有定义抛出 SqlException 会发生什么。所以你有两个选择——你也可以抛出 SqlException——或者你可以把这条线放在 try catch 块中来处理异常。

于 2013-05-19T23:17:52.520 回答