在vb中出错，但在sql查询中更正。

Question

在vb中出错，但在sql查询中更正。有人能纠正我的VB代码吗。

这是我在VB中的错误代码

cmd = New Odbc.OdbcCommand("SELECT * FROM tblvendorpartnumber WHERE vendorpnumber ='" & Trim(TextBox11.Text.TrimEnd()) & " OR vendorpnumber ='" & Trim(TextBox2.Text.TrimEnd()) & "'", con)

这是mysql查询中的正确代码。

SELECT *
FROM pcba_info.tblvendorpartnumber
WHERE partnumber = '' or vendorpnumber = '';

Answer 1

必须解决SQL注入中的问题。

你忘了包括另一对单引号。

从…

TextBox11.Text.TrimEnd()) & " OR

至

Trim(TextBox11.Text.TrimEnd()) & "' OR

形成为

cmd = New Odbc.OdbcCommand("SELECT * FROM tblvendorpartnumber WHERE vendorpnumber ='" & TextBox11.Text.Trim().Replace("'", "''") & "' OR vendorpnumber ='" & TextBox2.Text.Trim().Replace("'", "''") & "'", con)

Answer 2

您需要避免将VB字符串函数与SQL字符串函数混在一起。在引号中写入整个查询以确保在SQL中工作。

Answer 3

试着像这样

Trim将从字符串中修剪任何前导或尾随空格。因此，如果字符串是" Text“，那么Trim将为您删除这些空格，只留下”Text“。

Dim S1,S2  as String
S1 = TextBox11.Text
S2 = TextBox12.Text
cmd = New Odbc.OdbcCommand("SELECT * FROM tblvendorpartnumber WHERE vendorpnumber ='" & S1.Trim & " OR vendorpnumber ='" & S2.Trim & "'", con)