为什么此SqlCommand参数会产生SQLDateTime溢出错误？

Question

我有这些代码块：

var cmd = new SqlCommand(); 
cmd.CommandText = @"SELECT * FROM " + TableName + " Where "; 
SqlConnection a = new SqlConnection("the setting"); 
cmd.Connection = a; 

这些生产线下方，做工精细：

cmd.CommandText += strFromTextBox + " LIKE '%" + strUserInput + "%'"; 
//strFromTextBox & strUserInput is string datatype 
//it looks like 'apple', 'ladder', just normal string 
SqlDataAdapter adapter = new SqlDataAdapter(); 
adapter.SelectCommand = cmd; 

但这些的产生错误：

DateTime dtFrom = DateTime.Parse(dt1).Date; 
DateTime dtTo = DateTime.Parse(dt2).Date; 
//dt1 & dt2 is originally a string 
//they look something like this: 2/1/2012 12:00:00 AM 
cmd.Parameters.AddWithValue("@dt1", @dtFrom); 
cmd.Parameters.AddWithValue("@dt2", @dtTo); 
cmd.CommandText+= parameter[i].ToString() + " BETWEEN @dt1 AND @dt2"; 
//parameter[i] refers to the column name 

它产生的误差：

System.Data.SqlTypes.SqlTypeException: SqlDateTime overflow.

两个块是通过处理：

DataTable Table = new DataTable(); 
adapter.FillSchema(Table, SchemaType.Source); 
adapter.Fill(Table); 

最后的查询输出（字符中发现）

SELECT * FROM linkDb Where CreateDt BETWEEN @dt1 AND @dt2 

能有人建议什么是错用这些代码行？

Answer 1

SQL Server DATETIME数据类型只能表示从00:00:00 1/1/1753到23/12/9999 23:59:59的日期。我的猜测是，其中一个日期字符串或者被给予超出此范围的日期，或者它的分析方式与您想象的不同。

此外，构建这样的SQL字符串非常容易发生SQL注入。你应该考虑尽快放弃这种做法。像现在。

Answer 2

取而代之的是：

cmd.Parameters.AddWithValue("@dt1", @dtFrom); 
cmd.Parameters.AddWithValue("@dt2", @dtTo); 

试试这个：

SqlParameterCollection p = cmd.Parameters; 
p.Add("@dt1", SqlDbType.DateTime).Value = dtFrom; 
p.Add("@dt2", SqlDbType.DateTime).Value = dtTo; 

我还要设置参数之前设置的CommandText值。

如果失败了，则应使用调试器来验证dtFrom和dtTo中包含的值。

顺便说一句，我知道这不是你的问题的一部分，但你的发布代码容易受到SQL注入。您还应该用using声明包装您的SqlConnection和SqlCommand对象。