쿼리 실행시 오류가 발생했습니다.

Question

안녕하세요. 여기 C#의 코드 스 니펫입니다. asp.net에서 데이터의 요약을 생성하고 formview에 표시하려고합니다. 하지만이 코드를 생성하는 데 문제가있어서 'Incorrect syntax near 'K12'.' 도와주세요.

  try 
      { 
       SqlConnection conn = new SqlConnection("server=ARSLAN- LAPI\\SQLEXPRESS;" + 
           "Trusted_Connection=yes;" + 
           "database=OTTS; " + 
           "connection timeout=30"); 
       String query = "Select * FROM dbo."; 
       query = query + " " + "[" + session.SelectedItem.Text + "_" +  dept.SelectedItem.Text + "]"; 
       query = query + " " + "WHERE rollNo=" + "2K12-BSCS-37"; 
       //SqlCommand cmd = new SqlCommand(query, conn); 
       //SqlDataReader reader; 
       SqlDataAdapter dataAdapter = new SqlDataAdapter(query, conn); 
       SqlCommandBuilder commandBuilder = new SqlCommandBuilder(dataAdapter); 
       DataTable table = new DataTable(); 
       table.Locale = System.Globalization.CultureInfo.InvariantCulture; 
       dataAdapter.Fill(table); 
       dataform.DataSource = table; 
       dataform.Visible = true; 
      } 
      catch (SqlException ex) 
      { 
       ErrorMessage.Text="Error ::"+ ex.Message; 
      } 

Answer 1

where 절의 롤 번호 문자열은 문자열로 구분해야합니다. 이 줄 query = query + " " + "WHERE rollNo=" + "2K12-BSCS-37";은 query += " " + "WHERE rollNo=" + "'2K12-BSCS-37'";으로 바뀌어야합니다. 작은 따옴표에 유의하십시오.

더 나은 아직,이 같은 쿼리를 구축하는 문자열 형식을 사용하는 것입니다 :

string.Format("SELECT * FROM dbo.[{0}_{1}] WHERE rollNo = '{2}'", 
       session.SelectedItem.Text, 
       dept.SelectedItem.Text, 
       "2K12-BSCS-37") 

과 더 나은 여전히는 수많은로 데이터베이스를 노출하기 때문에, 모두 위험한 쿼리를 방지하는 것 가능한 공격. 나는 솔직히 사용자가이 방식으로 자신의 테이블 이름을 만들도록 내버려 두지 않으므로 SQLClient 매개 변수가 여기에서 작동하는지는 말할 수조차 없다. 나는 많은 범위 검사 등이 실행 가능하도록 요구 될 것이라는 이전 의견에 동의한다.

결국, 소수의 사용자 만 액세스 할 수있는 내부 응용 프로그램입니다.