帮忙挑毛病 C# asp.net “语法错误 (操作符丢失) 在查询表达式''中”错误

Posted 2023-04-12

下列代码中在names，address，tel这些textbox中只要输入空格，@这样的字符就报错，错误信息是：
System.Data.OleDb.OleDbException: 语法错误 (操作符丢失) 在查询表达式 'ssf sf sf sfsdfds ' 中
表达式时而换成：'12345@qq.com' 或者'2015.3.26 21:16:52'
我都疯掉了！语句没有问题啊 为啥有空格和@就不行？？？

string str_cnn = "Provider=Microsoft.ACE.OLEDB.12.0; Data Source=";
string str_sourcefile = "~/App_Data/SKDATA.accdb";
OleDbConnection cnn;
OleDbCommand cmd;
OleDbDataReader datar;

string str_sql;
string str_conn = str_cnn + MapPath(str_sourcefile);
cnn = new OleDbConnection(str_conn);
cnn.Open();

str_sql = "INSERT INTO S_SET_shopseting ( [names], address, tel, fax, email, webshop, makeman, makedate ) VALUES ( ";
str_sql += this.names.Text + ", ";
str_sql += this.address.Text + ", ";
str_sql += this.tel.Text + ", ";
str_sql += this.fax.Text + ", ";
str_sql += this.email.Text.ToString() + ", ";
str_sql += this.Onlineshop.Text.ToString() + ", ";
str_sql +="admin"+", ";
string i = DateTime.Now.ToString();
str_sql += i + ")";
cmd = new OleDbCommand(str_sql, cnn);

参考技术A OleDbConnection cnn;
OleDbCommand cmd;
string str_conn = "....";
cnn = new OleDbConnection(str_conn);
string str_sql = "insert into s_set_shopseting(names,address,tel,fax,email,webshop,makeman,makedate) values(@names,@address,@tel,@fax,@email,@webshop,@makeman,@makedate)";
cmd = new OleDbCommand(str_sql, cnn);
cmd.Parameters.AddWithValue("@names", this.names.Text);
cmd.Parameters.AddWithValue("@address", this.address.Text);
cmd.Parameters.AddWithValue("@tel", this.fax.Text);
//...
cmd.ExecuteNonQuery();

 你原来是用拼接sql语句的方式，一旦这种拼接方式拼接出来的sql句子有问题，那么就会出异常，甚至是可以注入攻击。

解决办法就是使用参数形式，参考上面代码。

参考技术B str_sql = "INSERT INTO S_SET_shopseting ([names], address, tel, fax, email, webshop, makeman, makedate ) VALUES ";
        str_sql += "('" + this.names.Text  + "', '";
        str_sql += this.address.Text + "', '";
        str_sql += this.tel.Text + "', '";
        str_sql += this.fax.Text + "', '";
        str_sql += this.email.Text.ToString() + "', '";
        str_sql += this.Onlineshop.Text.ToString() + "', '";
        str_sql +="admin"+"', '";
        string i = DateTime.Now.ToString();
        str_sql += i  + "')";

g关键：将与文本对应字段的拼接字符串用单引号引起来

参考技术C 字符串两边没有加"
str_sql +=("\""+ this.fax.Text + "\", ");本回答被提问者采纳

ASP.NET Razor——ASP.NET Razor - C#代码语法

Razor 同时支持 C# (C sharp) 和 VB (Visual Basic)。

---

主要的 Razor C# 语法规则

• Razor 代码块包含在 @{ ... } 中
• 内联表达式（变量和函数）以 @ 开头
• 代码语句用分号结束
• 变量使用 var 关键字声明
• 字符串用引号括起来
• C# 代码区分大小写
• C# 文件的扩展名是 .cshtml

C# 实例

<!-- Single statement block -->
@{ var myMessage = "Hello World"; }

<!-- Inline expression or variable -->
<p>The value of myMessage is: @myMessage</p> 

<!-- Multi-statement block -->
@{
var greeting = "Welcome to our site!";
var weekDay = DateTime.Now.DayOfWeek;
var greetingMessage = greeting + " Here in Huston it is: " + weekDay;
}
<p>The greeting is: @greetingMessage</p>

运行实例 »

 

---

主要的 Razor VB 语法规则

• Razor 代码块包含在 @Code ... End Code 中
• 内联表达式（变量和函数）以 @ 开头
• 变量使用 Dim 关键字声明
• 字符串用引号括起来
• VB 代码不区分大小写
• VB 文件的扩展名是 .vbhtml

实例

<!-- Single statement block --> 
@Code dim myMessage = "Hello World" End Code

<!-- Inline expression or variable --> 
<p>The value of myMessage is: @myMessage</p> 

<!-- Multi-statement block --> 
@Code
dim greeting = "Welcome to our site!" 
dim weekDay = DateTime.Now.DayOfWeek 
dim greetingMessage = greeting & " Here in Huston it is: " & weekDay
End Code 

<p>The greeting is: @greetingMessage</p>

运行实例 »

 

---

它是如何工作的？

Razor 是一种将服务器代码嵌入在网页中的简单的编程语法。

Razor 语法是基于 ASP.NET 框架，专门用于创建 Web 应用程序的部分 Microsoft.NET 框架。

Razor 语法支持所有 ASP.NET 的功能，但是使用的是一种简化语法，对初学者而言更容易学习，对专家而言更有效率的。

Razor 网页可以被描述成带以下两种类型内容的 HTML 网页： HTML 内容和 Razor 代码。

当服务器读取页面时，它首先运行 Razor 代码，然后再发送 HTML 页面到浏览器。在服务器上执行的代码能够执行一些在浏览器上不能完成的任务，比如，访问服务器数据库。服务器代码能创建动态的 HTML 内容，然后发送到浏览器。从浏览器上看，服务器代码生成的 HTML 与静态的 HTML 内容没有什么不同。

带 Razor 语法的 ASP.NET 网页有特殊的文件扩展名 cshtml（Razor C#）或者 vbhtml（Razor VB）。

---

使用对象

服务器编码往往涉及到对象。

"Date" 对象是一个典型的内置的 ASP.NET 对象，但对象也可以是自定义的，一个网页，一个文本框，一个文件，一个数据库记录，等等。

对象有用于执行的方法。一个数据库记录可能有一个 "Save" 方法，一个图像对象可能有一个 "Rotate" 方法，一个电子邮件对象可能有一个 "Send" 方法，等等。
对象也有用于描述各自特点的属性。一个数据库记录可能有 FirstName 和 LastName 属性。

ASP.NET Date 对象有一个 Now 属性（写成 Date.Now），Now 属性有一个 Day 属性（写成 Date.Now.Day）。下面实例演示了如何访问 Data 对象的一些属性：

实例

<table border="1">
<tr>
<th width="100px">Name</th>
<td width="100px">Value</td>
</tr>
<tr>
<td>Day</td><td>@DateTime.Now.Day</td>
</tr>
<tr>
<td>Hour</td><td>@DateTime.Now.Hour</td>
</tr>
<tr>
<td>Minute</td><td>@DateTime.Now.Minute</td>
</tr>
<tr>
<td>Second</td><td>@DateTime.Now.Second</td>
</tr>
</td>
</table>

运行实例 »

 

---

If 和 Else条件

动态网页的一个重要特点是，您可以根据条件决定做什么。

做到这一点的常用方法是使用 if ... else 语句：

实例

@{
var txt = "";
if(DateTime.Now.Hour > 12)
{txt = "Good Evening";}
else
{txt = "Good Morning";}
}
<html>
<body>
<p>The message is @txt</p>
</body>
</html>

运行实例 »

 

---

读取用户输入

动态网页的另一个重要特点是，您可以读取用户输入。

输入是通过 Request[] 功能读取的，并且传送输入数据是经过 IsPost 条件判断的：

实例

@{
var totalMessage = "";
if(IsPost)
{
var num1 = Request["text1"];
var num2 = Request["text2"];
var total = num1.AsInt() + num2.AsInt();
totalMessage = "Total = " + total;
}
}
<html>
<body style=" font-family: Verdana, Arial;">
<form action="" method="post">
<p><label for="text1">First Number:</label><br>
<input type="text" name="text1" /></p>
<p><label for="text2">Second Number:</label><br>
<input type="text" name="text2" /></p>
<p><input type="submit" value=" Add " /></p>
</form>
<p>@totalMessage</p>
</body>
</html>

运行实例 »