Błąd w składni SQL

pytanie zadane 27 września 2015 w SQL, bazy danych przez wanderer Gaduła (3,710 p.)
zamknięte 28 września 2015 przez event15

Czy ktoś może wskazać gdzie tu jest błąd w skladni ?

 cm = new OleDbCommand("UPDATE questions SET opis10 = '" + (CheckBox9.Checked || Request.QueryString["id"].Equals("1") ? "TRUE" : "FALSE")+"'opis11='"+(CheckBox10.Checked || Request.QueryString["id"].Equals("1") ? "TRUE" : "FALSE") + "' WHERE id = " + Request.QueryString["id"], conn);

informacje po wystąpieniu błędu :

1.Błąd składniowy (brak operatora) w wyrażeniu kwerendy ''TRUE'opis11='TRUE''
2. Wiersz 89: cm.ExecuteScalar();

komentarz zamknięcia: problem rozwiązany

1 odpowiedź

odpowiedź 27 września 2015 przez adrian17 Ekspert (344,860 p.)
wybrane 27 września 2015 przez wanderer

Najlepsza

No, masz tu dokładnie pokazane gdzie jest błąd:

''TRUE'opis11='TRUE''

brak przecinka i podwójny '.

Przy okazji polecam String.Format zamiast szalenie nieczytelnego ręcznego łączenia stringów.

komentarz 27 września 2015 przez wanderer Gaduła (3,710 p.)

Poprawione i działa ;)

robilem 1000 konfiguracji z + , przecinkami , apostrofami oraz " " i za każdym razem błąd składniowy . teraz usunąłem faktycznie te nadmiarowe ' ' i dodałem przecinek i poszło, dzięki ;)

komentarz 27 września 2015 przez adrian17 Ekspert (344,860 p.)

No, a zobacz jak łatwiej i czytelniej by było z string.format:

string sql = String.Format(
	@"UPDATE questions
	SET opis10 = '{0}', opis11 = '{1}'
	WHERE id = {2}",
	(CheckBox9.Checked || Request.QueryString["id"].Equals("1") ? "TRUE" : "FALSE"),
	(CheckBox10.Checked || Request.QueryString["id"].Equals("1") ? "TRUE" : "FALSE"),
	Request.QueryString["id"]
);

cm = new OleDbCommand(sql, conn);

komentarz 28 września 2015 przez wanderer Gaduła (3,710 p.)

Jak już przy tym String.Format jesteśmy to jak tu rozgraniczyć te dwa checkboxy, aby nie było takiego efektu, że gdy klikam pierwszy to w bazie zaznaczają się oba ??

a dokładniej :
W mojej aplikacji w której jest 5 checkboxów po klikniecią pierwszego w bazie danych zaznaczają się wszystkie .

Mógłbyś wdrożyć tę poprawkę do kodu, który mi powyżej podesłałes ??

komentarz 9 listopada 2015 przez drek Gaduła (4,980 p.)

Z tym String.Format to ja bym generalnie uważał na sql injection.

http://www.codeproject.com/Articles/9378/SQL-Injection-Attacks-and-Some-Tips-on-How-to-Prev

Ale to wszystko zależy. Jak piszemy program na zaliczenie to bezpieczeństwo raczej jest ostatnią rzeczą na którą warto zwracać uwagę, bo zwykle są ważniejsze rzeczy do zrobienia...

komentarz 9 listopada 2015 przez adrian17 Ekspert (344,860 p.)
edycja 9 listopada 2015 przez adrian17

Oczywiście że tak, w zasadzie powinno się korzystać wyłącznie z prepared statements, ale jeśli już chce tak naiwnie budować zapytanie to niech przynajmniej robi to czytelnie a nie wszystko w jednej linii z łączeniem stringów :P