Question

여기 내 코드입니다 ... 작은 따옴표가없는 입력 데이터에 대해서는 정상적으로 작동하지만 작은 따옴표를 입력하고 게시하려고하면 충돌이 발생합니다. 나는 많은 코드 샘플을 시도했으며 이것이 효과가있다. 어떤 도움을 주시면 감사하겠습니다.

string SQLcommand = "UPDATE FirearmTracking SET LastName='" 
+ @custData[2] + // lastName 
"', CitationNum='" + custData[1] + // citation 
"', FirstName='" + custData[3] + // firstname 
"', MiddleInitial='" + custData[4] + // mi 
"' WHERE EventNum = '" + @custData[0] + // eventNum 
      "' "; 
     // Create a new table 
     DataTable FirearmTracking = new DataTable(); 

     // Grab the Connection String 
     SqlConnection conn = Connections.GetDataFromDB(); 

     // Create a SqlCommand object 
     SqlCommand cmd = new SqlCommand(); 
     cmd.Connection = conn; 
     cmd.CommandType = CommandType.Text; 
     cmd.CommandText = SQLcommand; 

     cmd.Parameters.AddWithValue("@LastName", custData[2]); 

     try 
     { 
      conn.Open(); 
      cmd.ExecuteNonQuery(); 
     } 
     catch (Exception) 
     { 
      throw new Exception("Data Layer - Customer Error..."); 
     } 
     finally 
     { 
      conn.Close(); 
     } 
     return null; 

Answer 1

작은 따옴표를 두 번 사용하여 이스케이프해야하므로이 문제가 발생합니다.

이 스레드를 참조하십시오 : How do I escape a single quote in SQL Server?

을 어쨌든, 그것은 사용자 입력 사용 매개 변수 또는 저장 프로 시저에서 직접 쿼리를 간부 인하는 나쁜 습관이다.

Answer 2

매개 변수를 설정하고 있지만 쿼리에서 사용하지 않습니다. 대신 값을 합치의 쿼리

넣어 매개 변수 이름 :

string SQLcommand = 
    "UPDATE FirearmTracking SET " + 
    "LastName = @LastName, " + 
    "CitationNum = @CitationNum, " + 
    "FirstName = @FirstName, " + 
    "MiddleInitial = @MiddleInitial " + 
    "WHERE EventNum = @EventNum"; 

지금 그들을 위해 매개 변수를 추가 :

cmd.Parameters.AddWithValue("@LastName", custData[2]); 
cmd.Parameters.AddWithValue("@CitationNum", custData[1]); 
cmd.Parameters.AddWithValue("@FirstName", custData[3]); 
cmd.Parameters.AddWithValue("@MiddleInitial", custData[4]); 
cmd.Parameters.AddWithValue("@EventNum", custData[0]);