110,536
社区成员
发帖
与我相关
我的任务
分享"必须声明标量变量 \"@cwUser\"。"
sql = string.Format(@"
update {0} set iscw ={2},cwUser=@cwUser,cwTime = getdate()
where id={1} and isApply=0
", TableName, id, iscw, isApply);
求原因
...全文
请发表友善的回复…
发表回复
zyy1111111 2018-02-26
- 打赏
- 举报
要建立CSUser变量
大鱼> 2018-02-25
- 打赏
- 举报
@cwUser这个识别不了的,可以将@cwUser作为参数传入,类似你的其他参数一样
xzxmustwin 2018-02-24
- 打赏
- 举报
直接拼接容易造成sql注入,用参数化查询的方法可以避免这个问题。
我现在是把微软的SqlHelper类添加到项目中 在项目中use BookDAL.SqlHelper即可。比较方便
李敢敢 2018-02-24
- 打赏
- 举报
你都没有@cwUser变量怎么能cwUser=@cwUser这样赋值呢?
xuzuning 2018-02-24
- 打赏
- 举报
在 SQL 指令中出现 @cwUser 这样的字符串
那么他可能是:
一个存储过程的参数
一个用户自定义变量
一个预处理指令的参数
而你的代码中并没有出现这些情况(可能是忘贴了吧),自然就要报错的
圣殿骑士18 2018-02-24
- 打赏
- 举报
是啊,从来没见过同时用string.Format替换和查询参数化的,你好好的用一种就可以了,不要用这种奇葩的用法。
给你贴个案例,不过这是用Dapper的,参数化方式和你这个有点不同。sqlDestination1是sql替换,sqlInsert1是参数化
//插入新数据
foreach (var item in listSource2)
{
//存在则忽略
string sqlDestination1 = string.Format("select * from basic_org where ORG_ID = {0}", item.Branch_code);
var listDestination1 = destinationConn.Query<basic_orgModel>(sqlDestination1);
string sqlInsert1 = null;
if (listDestination1.Count() == 0)
{
sqlInsert1 = @"insert basic_org(ORG_ID, OPARENT, ORG_NAME, OFLAG, OSTATE, brand_code, brand_name, type_code, type_name)
values(@BRANCH_CODE, ifnull(@DISTRICT_CODE, 1), @BRANCH_NAME, 2, 1, @brand_code, @brand_name, @type_code, @type_name)";
}
else
{
sqlInsert1 = @"update basic_org set OSTATE = (case when @Mark = 0 then 1 else -1 end) where ORG_ID = @Branch_code";
}
destinationConn.Execute(sqlInsert1, item);
addNum++;
}
娃都会打酱油了 2018-02-24
- 打赏
- 举报
我也是服了,要么都参数化,要么都直接占位符拼接sql,一半参数化,一半拼接是什么鬼
秋的红果实 2018-02-24
- 打赏
- 举报
假设数据库里cwUser字段类型时NChar的,或者别的具体类型,根据SqlDbType枚举选择即可
exception92 2018-02-24
- 打赏
- 举报
或者搜索 “如何防止sql注入” 。
exception92 2018-02-24
- 打赏
- 举报
指定相应的sqlparameter参数,具体msdn。
秋的红果实 2018-02-24
- 打赏
- 举报
sql = string.Format(@"
update {0} set iscw ={2},cwUser=@cwUser,cwTime = getdate()
where id={1} and isApply=0
", TableName, id, iscw);
SqlCommand com = new SqlCommand(sql, con);
com.Parameters.Add(new SqlParameter("@cwUser", SqlDbType.NChar)).Value = 给该字段赋的值;
qq_32320747 2018-02-24
- 打赏
- 举报
4个也是一样的错误
qq_32320747 2018-02-24
- 打赏
- 举报
update Records_Moneys set iscw =1,cwUser=@cwUser,cwTime = getdate()
where id=13 and isApply=0
u010429233 2018-02-24
- 打赏
- 举报
cwUser=@cwUser 你的这段后面接个@是什么意思,你用Format后面有4个参数,你sql里面只有3个需要替换的值
以专业开发人员为伍 2018-02-24
- 打赏
- 举报
哦,sorry,我看成了参数查询了。而你是 String.Format,我看错了你的代码。
你可以贴出 sql 调试结果,这个是 SQL Server 服务器无法解析你的 sql 语句,自然你要调试 sql 变量。
以专业开发人员为伍 2018-02-24
- 打赏
- 举报
没有
update {0}以专业开发人员为伍 2018-02-24
- 打赏
- 举报
从错误提示上看,如果你定义了一个参数查询,那么你必须为 DbCommand 设置参数。如果不设置参数就会产生这类错误。
先查看你的 sql,把它单独拿到查询分析器上运行。如果查询分析器告诉你需要传参数值,那么就说明语法没有问题而是缺少参数值了。
