C#使用sql server 語法出問題

Sleep 2020-07-22 09:08:36 ‧ 1623 瀏覽

分享至

小弟我是在寫code時遇到些問題，我是使用select * from table_name 語法去撈取database
在table_name，小弟利用變數取代(可以查詢我自訂的變數)，無法撈到資料

sql="select * from env104 where '" + key_txt + "' = '" + name_txt + "' "
這樣無法撈到資料
但是:!!
"select * from env104 where 狀態= '" + name_txt + "' "
這樣可以

fillano iT邦超人 1 級 ‧ 2020-07-22 09:29:37 檢舉

...看不懂，請把程式碼補齊，放進程式碼區塊。

登入發表討論

直播研討會

{{ item.channelVendor }} {{ item.webinarstarted }} |

直播中

3 個回答

海綿寶寶

iT邦大神 1 級 ‧ 2020-07-22 09:29:52

sql="select * from txt_search"

string index;

connect_sql_server(index);

改成

sql="select * from " + txt_search

connect_sql_server(sql);

試試看

回應 3
分享
檢舉

fillano iT邦超人 1 級 ‧ 2020-07-22 09:31:24 檢舉

...你是通靈王XD，我還沒看出他要問什麼你就回答了

海綿寶寶 iT邦大神 1 級 ‧ 2020-07-22 09:34:30 檢舉

通靈王另有他人

您不知道現在就算看不懂問題也不能說出來...

Sleep iT邦新手 5 級 ‧ 2020-07-22 11:09:30 檢舉

我已修正
我主要是那段程式碼是可行的嗎
##小弟已解決

登入發表回應

ezdoc

iT邦新手 2 級 ‧ 2020-07-24 15:42:08

key_txt 應該是指欄位名吧
改成下面樣試試

sql="select * from env104 where [" + key_txt + "] = '" + name_txt + "' "

不過這樣組 SQL 字串，要留意 SQL Injection 問題。

回應 1
分享
檢舉

小魚 iT邦大師 1 級 ‧ 2020-07-26 10:37:42 檢舉

好像是這樣沒錯,
不過之前測試欄位名稱好像可以使用雙引號 " 包起來,
不過雙引號又要配合逃脫符號了,
有點麻煩.

登入發表回應

小魚

iT邦大師 1 級 ‧ 2020-07-26 10:35:10

為什麼有一種,
SQL Injection的既視感...

回應
分享
檢舉

登入發表回應

我要發表回答

立即登入回答

參賽組數

1064 組

團體組數

40 組

累計文章數

22208 篇

完賽人數

600 人

15th鐵人賽 16th鐵人賽 13th鐵人賽 14th鐵人賽 12th鐵人賽 11th鐵人賽鐵人賽 2019鐵人賽 javascript 2018鐵人賽 python 2017鐵人賽 windows php c# windows server linux css react vue.js

IT邦幫忙