Odac ORA-00911:无效字符

Question

我正在编写一个连接到ODAC的C#代码。我认为我的查询没有错误，但我得到了这个错误，我不知道如何解决。

这是我的问题

comm.CommandText = "SELECT * FROM ZAEDBA WHERE USER_ID = '" + login_id + 
                   "' AND APPID = '" + app_id + "' ;"; 

有谁能找出这里出了什么问题吗？

Answer 1

您的查询容易受到称为SQL injection的安全问题的攻击！

您不应该使用字符串连接来从字符串(一些SQL，一些参数)构建查询...始终使用参数化查询...

示例代码：

comm.BindByName = true;
comm.CommandText = "SELECT * FROM ZAEDBA WHERE USER_ID = :login_id AND APPID = :app_id";
comm.Parameters.AddWithValue ("login_id", login_id);
comm.Parameters.AddWithValue ("app_id", app_id);

Answer 2

为什么你的sql命令中有一个;？试试这个；

comm.CommandText = "SELECT * FROM ZAEDBA WHERE USER_ID = '" + login_id + "' AND APPID = '" + app_id "';

顺便说一句，您应该始终使用参数化查询。这显然是为sql注入打开的。对于您的查询，请像这样使用；

string commandText = "SELECT * FROM ZAEDBA WHERE USER_ID = @login_id " + AND
        + "WHERE APPID  = @app_id;";

command.Parameters.Add("@login_id", SqlDbType.Int);
command.Parameters["@login_id"].Value = login_id;

command.Parameters.Add("@app_id", SqlDbType.Int);
command.Parameters["@app_id"].Value = app_id;