0

我正在使用 VB2005 和 SQL SERVER 2000。

PVAR_SQL_STR = "INSERT INTO GLR_US_PERIOD (ORG5_CODE,PERIOD_YEAR,PERIOD_CODE," _
    "PERIOD_NO,FROM_DATE,TO_DATE,INSERT_USER,INSERT_DATE) VALUES " _
    & "('" & PVAR_COMPANY_CODE & "' ,'" & TextBox1.Text & "','" & Serial1.Text & _
    "'," & TextBox2.Text & ", '" + DateTimePicker1.Value.ToString("D") + "' ,'" + _
    DateTimePicker2.Value.ToString("D") + "','" & PVAR_USER_CODE & "','" + _
    Now.ToString("F") + "')"

仅因为这部分,从字符串转换日期时间的语法错误:

Now.ToString("F")

为什么,我不知道,但是当我变成

Now.ToString("D")

它运作良好,但它只保存日期。我想插入日期时间。

4

1 回答 1

2

简单的答案是根本不尝试将其全部构建到 SQL 语句中。请改用参数化查询,并将参数值设置为DateTime.Now(或DateTime.UtcNow)。

参数化查询也是抵御 SQL 注入攻击的有效手段。将一般数据(尤其是用户提供的数据)直接插入 SQL 语句会导致灾难。

有关更多信息,请参阅文档SqlCommand.Parameters- 或查阅有关 ADO.NET 的任何不错的教程或书籍。

于 2010-06-01T09:43:36.673 回答