ASP.Net insérer des données à partir de la zone de texte à une base de données

Im essayant d'insérer des données à partir d'une zone de texte de ma base de données, et il en me jetant une exception.

Détails De L'Exception: System.Les données.SqlClient.SqlException: syntaxe Incorrecte près de 'test'.

quelques détails avant que je présente mon code si :
ma base de données appelée : Films
ma table de données appelée: les Utilisateurs
et j'ai des colonnes telles que : "Prénom", "Nom", etc...

protected void Register_Click(object sender, EventArgs e)
{
Connexion SqlConnection = new SqlConnection("Data Source=MICROSOFT-58B8A5\SQL_SERVER_R2;Initial Catalog=Film;Integrated Security=True");

        connection.Open();
        //FirstName***********
        string firstName = FirstNameTextBox.Text;
        string sqlquery = ("INSERT INTO [Users] (FirstName) VALUES (' " +FirstNameTextBox.Text + " ' ");

        SqlCommand command = new SqlCommand(sqlquery , connection);
        command.Parameters.AddWithValue("FirstName", firstName);
        //LastName************
        string lastName = LastNameTextBox.Text;
        sqlquery = ("INSERT INTO [Users] (LastName) VALUES (' " + LastNameTextBox.Text+ " ' ");
        command.Parameters.AddWithValue("LastName", lastName);
        //Username*************
        string username = UsernameTextBox.Text;
        sqlquery = ("INSERT INTO [Users] (Username) VALUES (' " + UsernameTextBox.Text+ " ' ");
        command.Parameters.AddWithValue("UserName", username);
        //Password*************
        string password = PasswordTextBox.Text;
        sqlquery = ("INSERT INTO [Users] (Password) VALUES (' " + PasswordTextBox.Text + " ' ");
        command.Parameters.AddWithValue("Password", password);
        if (PasswordTextBox.Text == ReTypePassword.Text)
        {
            command.ExecuteNonQuery();
        }
        else
        {
            ErrorLabel.Text = "Sorry, You didnt typed your password correctly.  Please type again.";
        }

        connection.Close();
    }
InformationsquelleAutor thormayer | 2011-12-14
  1. 5

    Utiliser une requête et l'utilisation @ParamName:

        string sqlquery = "INSERT INTO [Users] (FirstName,LastName,UserName,Password) VALUES (@FirstName,@LastName,@UserName,@Password)";
    SqlCommand command = new SqlCommand(sqlquery , connection);

    //FirstName***********
    string firstName = FirstNameTextBox.Text;
    command.Parameters.AddWithValue("FirstName", firstName);
    //LastName************
    string lastName = LastNameTextBox.Text;     
    command.Parameters.AddWithValue("LastName", lastName);
    //Username*************
    string username = UsernameTextBox.Text;     
    command.Parameters.AddWithValue("UserName", username);
    //Password*************
    string password = PasswordTextBox.Text;    
    command.Parameters.AddWithValue("Password", password);

    ...........
    • Les paramètres d'éviter les attaques par injection SQL, qui sont dangereuses.
    • MERCI! il fonctionne!
    InformationsquelleAutor rick schott
  2. 0

    Le problème semble être que vous êtes la création d'un étrange SQL instruction. C'est de la vraie valeur est
    INSERT INTO [Utilisateurs] (Prenom) VALUES ('(theValue)')
    et vous n'êtes pas d'ajouter le reste des valeurs de (nom de famille, etc). Le reste du code ne fait rien car la requête ne pas inclure le reste des paramètres.

    InformationsquelleAutor Alejandro B.
  3. 0

    Peut-être que ce code est plus court:

    sqlcommand command=new sqlcommand("insert into[Users](FirstName,LastName,UserName,Password) values('"+FirstNameTextBox.Text+"','"+LastNameTextBox.Text+"','"+UsernameTextBox.Text+"','"+PasswordTextBox.Text+"')",connection);
command.ExecuteNonQuery();
    InformationsquelleAutor lew sitthisak
  4. 0

    Ajouter les éléments suivants: la

    string sqlquery = "INSERT INTO [Users] (FirstName,LastName,Username,Password) VALUES ( " +FirstNameTextBox.Text + " ,";
sqlquery +=  LastNameTextBox.Text+ ",";
sqlquery +=   UsernameTextBox.Text+ ",";
sqlquery +=  PasswordTextBox.Text + " )";
SqlCommand command = new SqlCommand(sqlquery , connection);
    InformationsquelleAutor Mohsen