'00'の近くの構文が正しくありません

私はasp & SQLサーバーの新機能です。私はSQLクエリに問題があります。'00'の近くの構文が正しくありません

string obal ; 
     decimal _obalss = 0; 
     decimal obalss = 0; 
     sconnection c = new sconnection(); 
     string cus_id = Session["cusid"].ToString(); 
     DateTime maxdate = DateTime.Parse(fromdt.Text, new System.Globalization.CultureInfo("en-US")); 
     string mdate = maxdate.ToString(); 
     string query_sl = "select sum(amount) as amount from sale where cusid = " + cus_id + " and invdate < " + maxdate + " group by cusid"; 
     SqlDataReader dr = c.reader(query_sl); 
     if (dr.Read()) 
     { 
      decimal.TryParse(dr["amount"].ToString(), out _obalss); 
      obalss = _obalss; 
     } 
     else 
     { 
      obalss = 0; 
     } 
      dr.Close(); 
      dr.Dispose();

出典

2011-08-09 Shailendra R Kumar

クイック注：これは* SQLで行うにはASP.NETと*すべてとは何の関係も* *を持っていません。 –

ブレークポイントを設定し、どのクエリがquery_sl文字列変数に生成されたかを確認して、実際に実行されたクエリを確認できるようにしてください。 – sll

string query_sl = "select sum(amount) as amount from sale where cusid = " + cus_id + " and invdate < " + maxdate + " group by cusid";

maxdateあなたは、単一引用符でそれを配置する必要があり、日付です。 さらにを使用すると、パラメータ化されたSQLクエリを使用する必要があります。そうしないと、SQLインジェクション攻撃に対して脆弱です。どのようにこのようなものについて：

string query_sl = "select sum(amount) as amount from sale where cusid = @CUSID and invdate < @MAXDATE group by cusid"; 
using(SqlCommand cmd = new SqlCommand(query_sl, c)) 
{ 
    cmd.Parameters.Add(new SqlParameter("@CUSID", SqlDbType.Int)).Value = cus_id; 
    cmd.Parameters.Add(new SqlParameter("@MAXDATE", SqlDbType.DateTime)).Value = maxdate; 
    ... 
}

出典

2011-08-09 18:02:58 BrokenGlass

+1パラメータ化クエリの場合 – Curt

パラメータ化クエリの場合+1以上。 – MRAB

string query_sl = "select sum(amount) as amount from sale where cusid = " + cus_id + " and invdate < '" + maxdate + "' group by cusid";

お知らせに、maxdate周りの単一引用符...

出典

2011-08-09 18:04:56

'00'の近くの構文が正しくありません

答えて

関連する問題