クエリ式の構文エラー（演算子がありません）

Question

一般的なエラーですが、それでも解決できません。 私は、というステータスのというセレクトアイテムを持っています。ユーザーは自分の雇用状況を選択できます。結果を取得し、user_table（アクセスファイル）ステータスセルを更新するだけです。 ご返信いただければ幸いです！

コードは以下の通りです：

<!--#include file="../conn/conn.asp"--> 
<% 
id=request.QueryString("id") 
status=request.Form("status") 
sql="select * from user_table where id="&id 
set rs=conn.execute(sql)  
sql="update user_table set Status='"+status+"' where id="&id 
'response.Write sql 
conn.execute(sql) 
conn.close 
response.Write "<script>alert('Change Sucessful!');</script>" 
set conn=nothing 
response.end() 
%> 

Answer 1

私は葉が開いconnのconn.asp推測していますか？それ以外の場合は、それを開く必要があります。また、response.write sql行のコメントを外すときに表示されるものは何ですか？

あなたは間違いなく自分自身をハッカーに開放しています。あなたは、request.formまたはrequest.querystringから来るものを 'きれいにする'必要があります（少なくともreplace(..., "'", "''")、またははるかに良いストアドプロシージャを使用してストレートSQLの代わりに使用します）

Answer 2

conn.execute（SQL）での問題だけでなく、Response.Endの（）

それを修正するには、あなたがいずれかの実行する必要があります。

conn.execute sql 

または

Call conn.execute(sql) 

しかし、あなたがたああ、あなたのテクニックにはセキュリティ上の問題があるので、投稿されたその他のコメントに従うべきです。パラメータを使用するように変更することを検討してください。

<!--#include file="../conn/conn.asp"--> 
<% 

id = request.QueryString("id") 
status = request.Form("status") 

sql = "select * from user_table where id = @id" 
Set cmd = CreateObject("ADODB.Command") 
cmd.CommandText = sql 
Set cmd.ActiveConnection = conn 
cmd.Prepared = True 
cmd.Parameters.Refresh 
cmd.Parameters("@id") = id 
Set rs = cmd.Execute 
Set rs = nothing 
Set cmd = nothing 

sql = "update user_table set status = @status where id = @id" 
Set cmd = CreateObject("ADODB.Command") 
cmd.CommandText = sql 
Set cmd.ActiveConnection = conn 
cmd.Prepared = True 
cmd.Parameters.Refresh 
cmd.Parameters("@status") = status 
cmd.Parameters("@id") = id 
Set rs = cmd.Execute 
Set rs = nothing 
Set cmd = nothing 

response.Write "<script>alert('Change Sucessful!');</script>" 
Set conn = nothing 
response.end 
%>