1
这作品时,得到一个SQL语法错误:我使用此查询
string sqlStr = string.Format("INSERT INTO tblFiles (filename,downloadname,description,category,length,parts,checksum,isEncrypted,uploaderIp) VALUES ('{0}','{1}','{2}','{3}',{4},{5},'{6}',{7},'{8}');",
newFile.Name.Replace("'", "''"), newFile.DownloadName.Replace("'", "''"), newFile.Description, newFile.Category, newFile.Length, newFile.Parts, newFile.Checksum, newFile.IsEncrypted, GetPeerIp());
这并不:
string sqlStr = string.Format("INSERT INTO tblFiles (filename,downloadname,description,category,length,parts,checksum,isEncrypted,password,uploaderIp) VALUES ('{0}','{1}','{2}','{3}',{4},{5},'{6}',{7},'{8}','{9}');",
newFile.Name.Replace("'", "''"), newFile.DownloadName.Replace("'", "''"), newFile.Description, newFile.Category, newFile.Length, newFile.Parts, newFile.Checksum, newFile.IsEncrypted, password, GetPeerIp());
例外,我得到:
$ {例外“语法错误在INSERT INTO语句中。“} System.Exception {System.Data.OleDb.OleDbException}
我的数据库看起来像这样。
我无法找到它的任何问题。有任何想法吗? 谢谢
作为一般规则,请始终使用命令参数来避免恶意SQL注入和其他意外错误。您可以为简单(有效)整数保存一些编码,但从不保存用户提供的数据。 – fcm