在字符串中使用单引号时出现奇怪的SQL异常

Question

我正在向服务器发送消息并将消息上传到数据库中，大多数单词都正确地通过，但我注意到当我发送单词 “这是怎么回事？ “它给出了一个错误，但是当我发送“whats up？”时T和S之间没有单个逗号，它很好。

什么问题？

这是我得到的异常： 附加信息：'s'附近的语法错误。

字符串'）'后面未加上引号。

我在com.Executenonquery行得到异常。

string message = bf.Deserialize(client).ToString(); 
SqlCommand com = new SqlCommand($"insert into messages (messagetext,sentdate) values ('{message}','{DateTime.Now}')",sc); 
int success = com.ExecuteNonQuery(); 
if (success < 1) 
{ 
    MessageBox.Show("Something went wrong"); 
} 

Answer 1

string message = bf.Deserialize(client).ToString(); 
SqlCommand com = new SqlCommand("insert into messages (messagetext,sentdate) values (@sqlMessage, @sqlDatetime)", sc); 
com.Parameters.AddWithValue("@sqlMessage", message); 
DateTime myDateTime = DateTime.Now; 
var sqlFormattedDate = myDateTime.ToString("yyyy-MM-dd HH:mm:ss"); 
com.Parameters.AddWithValue("@sqlDataTime", sqlFormattedDate); 

int success = com.ExecuteNonQuery(); 
if (success < 1) 
{ 
    MessageBox.Show("Something went wrong"); 
} 

添加参数将解决您的问题，您要添加的字符串作为'hello'而不是hello例如

Answer 2

您需要将单引号加倍才能工作，但应该使用参数化查询。系统将为您处理所有事情，并检查变量的内容以防止SQL脚本注入。

Answer 3

因为你的投入产生像下面一个无效的查询..

insert into messages (messagetext,sentdate) values ('what's up?','somedate') 

你观察的区别？您的单引号关闭开头的开头引号，前面的单词什么。要解决此问题，使用参数化SQL始终是最佳做法。

下面是一些参考

SQL Injection

Answer 4

它看起来就像你在C＃编码呢？

如果是这样可能是因为'是一个txt分隔符。我想你可以通过把你的转义字符放在那里来解决它。它可能是（？）\所以消息应该是“有什么事”，因为它在使用时不会在你的txt文件中出现异常。'

当你在SQL中抛出它时仍然会出错，还有用于定义字符串中的开始/停止。要修复它，你需要设置双'

等'什么是'！'

Answer 5

你在脚下射击自己。

您的字符串：

$"insert into messages (messagetext,sentdate) values ('{message}','{DateTime.Now}')" 

传递后 “什么事？”你得到：

insert into messages (messagetext,sentdate) values ('what's up?','...') 

看到这个零件：'what's up?'？撇号也是SQL中字符串的引用。这就是您应该的原因切勿使用字符串操作在SQL中放入数据。使用参数或更好的ORM。

Answer 6

原因是使用的是单'（单引号），而不是双和充当字符串文字的结尾，导致SQL无效。您应该使用参数：

1. 避免SQL注入攻击。
2. 避免像刚刚遇到的问题和更多（如正确格式化和传递日期\日期时间值）。

此外，在你的代码检查结果值是没用的，因为你会得到一个异常。修正的代码：

int rows = 0; 
string message = bf.Deserialize(client).ToString(); 
SqlCommand com = new SqlCommand(@"insert into messages 
    (messagetext,sentdate) 
    values 
    (@message, @sent)", sc); 
com.Parameters.Add("@message",SqlDbType.VarChar).Value = message; 
com.Parameters.Add("@sent",SqlDbType.DateTime2).Value=DateTime.Now; 
try 
{   
    sc.Open(); 
    rows = com.ExecuteNonQuery(); 
    sc.Close(); 
} 
catch (Exception ex) 
{ 
    MessageBox.Show("Something went wrong:"+ex.Message); 
} 
if (rows < 1) // this should never happen without an exception - redundant 
{ 
    MessageBox.Show("Something went wrong - no rows were inserted"); 
} 

Answer 7

正如其他人说的... 这个问题有几个选项。您可以使用SqlCommand的AddParameterWithValue方法。

1. 选项加入参数; （MessageText，senddate）values（@MesasgeText，@SentDate）“ var messageText = bf.Deserialize（client）.ToString（）; System.Data.SqlClient.SqlCommand scmd = new System.Data.SqlClient.SqlCommand（sqlString）; scmd.Parameters.AddWithValue（“@ MesasgeText”，messageText）; scmd.Parameters.AddWithValue（“@ SentDate”，DateTime.Now）;

2. 选择与编码/解码=>如果您将使用此选项不要忘记HtmlDecode当您将显示messageText到最终用户在网站上。

   var messageText = HttpUtility.HtmlEncode（bf.Deserialize（client）.ToString（））;

希望这可以帮到你， 亲切的问候。