"トークンライン番号= 1、トークンラインオフセット= 52、トークンエラー=データ]"

Question

コンボボックスのデータセットを選択する際に、以前のComboBox。私はそれが第2の方法のSELECT文であると信じるように導かれてきましたが、なぜそれが機能していないのか分かりません。 "トークン行番号= 1、トークン行オフセット= 52、トークンエラー=データ]"私は、Parameter.AddWithValue、cmd.Parametersを使用しようとしました。 .Add、また値を無駄にする文字列として設定します。誰でも私にこの問題を正しく解決する方法を教えてもらえますか？ありがとうございました。次のように

データベースのセットアップがある：

都市

• CityId（PK、INT、NOT NULL）
• 名（NCHAR（20）、NULL）
• ROWGUID（ UNIQUEIDENTIFIER、NOT NULL）

公園

• ParkId（PK、INT、nullでない）
• CityId（FK、INT、nullでない）
• 名（NCHAR（30）、NULL）
• ROWGUID（UNIQUEIDENTIFIER）

ここで方法は次のとおりです。

private void cboCities_SelectedIndexChanged(object sender, EventArgs e) 
{ 
    if (cboCities.SelectedIndex > -1) 
    { 
     SqlCeConnection cn = new SqlCeConnection(@"Data Source = \Program Files\ParkSurvey\ParkSurvey.sdf; Persist Security Info = False; Password = *"); 
     cn.Open(); 
     SqlCeCommand cmd = cn.CreateCommand(); 
     cmd.CommandText = "SELECT Name FROM [Parks] WHERE CityId =" + cboCities.SelectedValue + "ORDER BY Name ASC"; 
     SqlCeDataAdapter da = new SqlCeDataAdapter(cmd); 
     DataSet ds = new DataSet(); 
     da.Fill(ds); 
     cn.Close(); 
     cboParks.ValueMember = "ParkId"; 
     cboParks.DisplayMember = "Name"; 
     cboParks.DataSource = ds.Tables[0]; 
     cboParks.SelectedIndex = -1; 
    } 

Answer 1

私はあなたがクエリをパラメータ化しようとしたが、あなたが今得ているエラーはあなたが投稿したコードでスローされている場合と述べた知っています、 "ORDER BY"の前に空白がないという事実と関係していると思います。それ以外の場合、実行されるクエリは次のようになります。

SELECT Name FROM [Parks] WHERE CityId =5ORDER BY Name ASC; 

明らかに無効なSQLです。

あなたのクエリは次のようになります。それは言われていると

"SELECT Name FROM [Parks] WHERE CityId =" + cboCities.SelectedValue + " ORDER BY Name ASC"; 

を、私は、SQLインジェクション攻撃を避けるために、クエリをパラメータ化を見てみたいです。 cmd.Paramters.AddWithValueを使用する方が、このインラインSQL文を記述するよりも優れた方法です。

あなたのクエリは、のように書くことができます。

"SELECT Name FROM [Parks] WHERE CityId = @CityID ORDER BY Name ASC"; 

そして、あなたはほどのパラメータを追加することができます。

cmd.Parameters.AddWithValue("@CityID",cboCities.SelectedValue);