INSERT INTO statment错误

Question

我一直在试图插入一个特定的数据到我的数据库（在我的情况下，它是为Microsoft Access）， 这是下面的代码我使用C＃中写道：

string sql = "Insert into Orders(User,PID,PName,Price,Amount)" + 
      " values('" + od.User + "','" + od.Pid + "','" + 
      od.Pname + "','" + od.Price + "','" + od.Amount + "')"; 

现在我假设我写的形式非常好，不是吗？ 我得到的错误是：

INSERT INTO语句中的语法错误。

string sql = "Insert into Orders([User],PID,PName,Price,Amount) values(@user, @pid, @pname, @price, @amount)"; 

..here you will need to add your parameters to your command 

这既避免了SQL注入攻击，防止错误使用转义字符：所以你使用参数化命令

Answer 1

User是reserved keyword。用括号括起来指定要用它作为标识符，而不是命令：

string sql = "Insert into Orders([User],PID,PName,Price,Amount)" + 
     " values('" + od.User + "','" + od.Pid + "','" + 
     od.Pname + "','" + od.Price + "','" + od.Amount + "')"; 

这应该解决您的直接问题。使用参数化查询（如几个人所建议的）很好地避免了将来的问题。

Answer 2

更改代码。

Answer 3

下面是一个示例，您可以按照我已粘贴的副本从我刚刚写的 您可能想要按照此为将来的参考请注意如何使用Parameters.AddWithValue()方法而不是构建字符串查询字符串与Quoted values

private void btnInsert_Click(object sender, EventArgs e) 
{ 
    using(SqlConnection con = new SqlConnection(connString)) 
    { 
     con.Open(); 
     string Sql = "INSERT INTO Uyeleri (dID, FullName, Address, Mobile, Email, Comments) " + 
        "VALUES (@id, @name, @address, @mobile, @email, @comments"); 
     using(SqlCommand cmd = new SqlCommand(Sql, con)) 
     { 
      cmd.Parameters.AddWithValue("@id", txtdID.Text); 
      cmd.Parameters.AddWithValue("@name", txtAdiSoyadi.Text); 
      cmd.Parameters.AddWithValue("@address", txtAddress.Text); 
      cmd.Parameters.AddWithValue("@mobile", txtMobile.Text); 
      cmd.Parameters.AddWithValue("@email", txtEmail.Text); 
      cmd.Parameters.AddWithValue("@comments", txtComments.Text); 
      cmd.ExecuteNonQuery(); 
     } 
    }