后面没有加上引号我只是想知道是否有人可以在这里指向正确的方向,我想我已经看了太久,所以看不到错误。''附近的语法不正确。在字符串“'
下面的代码:
SqlCommand updateStyle = new SqlCommand("UPDATE [Lorenz].[dbo].[Layout] SET [bgColour] = '" + bgColour + "' , [textColour] = '" + txtColour + "WHERE <[LoweredUserName] ='" + currentUser + "' ", connection);
updateStyle.ExecuteNonQuery();
是给错误:
附近有语法错误 '管理员'。 字符串“'后面未加上引号。
嗨观众,谢谢你的关注。我知道SQL注入,而我目前只是试图让一些工作,然后我会重新考虑它更安全。 也没有这些变量被分配来自查询字符串的值,例如,当前用户来自 'Page.User.Identity.Name.ToString();' – Mattec 2010-04-21 19:28:25
在凹槽中滑动一次很容易。早些时候进入哈比特,而不是晚些时候。它会为你节省很多时间。这个查询很容易使用正确的方法。无论如何,祝你好运X-) – 2010-04-21 19:33:04