1. 首页
  2. 问答
  3. 如何搜索特定值的用户输入

如何搜索特定值的用户输入

2012-10-29 36 views
1

我有一个网站,我试图将多个条形码添加到数据库。批量添加效果很好,除了我有一个“特殊”系列条形码,最后包含一个“F”。这表示要调用插入书籍的不同存储过程。然而,每当我尝试运行它时,我都会得到一个SQL错误。条形码末尾的F是问题。如果我试图添加1000 - 1005它工作正常。如果我做1000F - 1005F它不会因为我的SQL不知道与F做什么...如何搜索特定值的用户输入

来源

2012-10-29 Shmewnix

+0

您能否向我们展示条码实际包含的内容?想知道如果有一个特殊的字符 – Darren

+0

我想我找到了问题......但不知道如何解决它或应用它...我正在做一个批量添加...所以让我说我想添加... 30F - 50F当我在“结束条形码”中输入50F时,它试图做数学运算(30f-50F)因为它不能减去字母......它会出现一个SQL错误...如何检查时是否将条形码参数中的“F”去掉?我将在上面编辑我的代码... – Shmewnix

+0

那么,您的实际错误消息得到的问题已在下面得到解答,您在sproc调用的字符串部分周围缺少'。如果你想删除F,那么你可以做很多事情之一,如dim txt = x_sBarCode.Text.Replace(“F”,“”)。看起来像一个不同的问题,但?除非我失去了一些东西? – Darren

回答

0

看起来不像你在单引号包裹的条形码

试试这个:第一MySQL已经包裹在'

这是假设usp_Insert_Encrypted文本正在采取串

Dim mySQL as String 
    if InStr(x_sBarcode.Text, "F") > 1 then 'Encrypted Coupon Books   
     mySQL= "EXEC usp_Insert_Encrypted '" & x_sBarCode.Text & "','" & x_sBarCodeSeriesEnd.Text & "'," & v_lBookTypeId 
     ''---------------------------------^-----------------------^--^--------------------------------^ 
    Response.Write(mySQL) 
    else 
     mySQL = "EXEC sp_BulkInsert 1," & x_sBarCode.Text & "," & x_sBarCode.Text & "," & x_sBarCodeSeriesEnd.Text 
    end if

UPDATE

增加了一些---- ^指着什么我意指关于'

您有:

mySQL= "EXEC usp_Insert_Encrypted " & x_sBarCode.Text & "," & x_sBarCodeSeriesEnd.Text & "," & v_lBookTypeId

凡可能会需要是:(假设第2个参数是文本和最后一个是integet

mySQL= "EXEC usp_Insert_Encrypted '" & x_sBarCode.Text & "','" & x_sBarCodeSeriesEnd.Text & "'," & v_lBookTypeId 
     ''--------------------------^-----------------------^--^--------------------------------^

来源

2012-10-29 17:39:00 Darren

+0

'加密优惠券书是文档... – Shmewnix

+0

不,我的意思是在实际的mySQL系列。 ..后EXEC usp_Insert_Encrypted和之前“&x_sBarcode.Text你应该有一个',因为你试图推入一个字符串到sproc – Darren

+0

有另一个样子。我添加--- ^指向'我的意思是 – Darren

1

首先你打开sql注入的代码,你应该尽快纠正这个问题。 你可以阅读有关SQL注入的位置:

http://msdn.microsoft.com/en-us/library/ff648339.aspx

现在你的问题。我几乎可以肯定你在设置mySQL时缺少了字符。 使用SqlCommand以安全的方式传递参数。提供的链接中也描述了传递参数。

来源

2012-10-29 17:40:10

相关问题

 相关问题