System.Data.SqlClient.SqlException: неверное имя столбца (ошибка в строке command.ExecuteNonQuery ();)

Question

System.Data.SqlClient.SqlException: неверное имя столбца (ошибка в строке command.ExecuteNonQuery ();)

2

Так что я получаю эту ошибку все время. Я не уверен, что проблема в SQL-сервере или просто в моих навыках кодирования. Этот код для вставки данных в базу данных.

Отправить помощь.

Я получаю это сообщение во время выполнения кода

private void registracija_btn_Click(object sender, EventArgs e)                        
{
        string RegistracijaUporabnisko = RegistracijaUporabnisko_txt.Text;
        string RegistracijaGeslo = RegistracijaGeslo_txt.Text;
        string RegistracijaMail = RegistracijaMail_txt.Text;

            try
            {
                string queryReg = "INSERT INTO uporabnik2(uporabnisko_ime, geslo, email) " +
                     "VALUES(" + RegistracijaUporabnisko + ", " + RegistracijaGeslo + ", " + RegistracijaMail + ")";

                using (SqlCommand command = new SqlCommand(queryReg, con))
                {
                    con.Open();
                    command.ExecuteNonQuery();
                    con.Close();
                }
            }
            catch (Exception ex)
            {
                MessageBox.Show("Napaka: " + ex);
            }

    }

Rok Šekoranja 13 фев. 2019, в 10:37

Источник

3

Сообщение об ошибке достаточно понятно? В нем говорится, что имя столбца geslo недопустимо / не найдено в таблице uporabnik2 Проверьте вашу таблицу / имя столбца.
sujith karivelil 13 фев. 2019, в 08:59
1

И, пожалуйста, добавьте ошибку как текст без изображения.
abestrad 13 фев. 2019, в 09:00
1

Пожалуйста, включите список полей таблицы, так как сама ошибка кажется довольно ясной и окончательной. Является ли "rok" одним из значений ваших переменных?
BugFinder 13 фев. 2019, в 09:01
0

@abestrad: что не так с этим изображением ошибки?
sujith karivelil 13 фев. 2019, в 09:02
2

Вы также должны прочитать о параметризованных запросах, чтобы избежать уязвимостей SQL-инъекций.
Diado 13 фев. 2019, в 09:04
1

@sujithkarivelil никто не любит изображения с кучей текста, и не все сайты с изображениями доступны для всех нас, чтобы посмотреть
BugFinder 13 фев. 2019, в 09:05
0

Мы собираем вопросы и ответы, чтобы служить ресурсом для людей, которые сталкиваются с проблемами при программировании. Проблема добавления изображений заключается в том, что они могут быть недоступны в будущем, но, поскольку мы используем Input, это вряд ли произойдет.
abestrad 13 фев. 2019, в 09:07
0

Возможный дубликат Каких хороших способов предотвратить внедрение SQL?
mjwills 13 фев. 2019, в 09:41

Показать ещё 6 комментариев

Теги:

c#

sql

connection

3 ответа

Ещё вопросы

Сообщение об ошибке достаточно понятно? В нем говорится, что имя столбца geslo недопустимо / не найдено в таблице uporabnik2 Проверьте вашу таблицу / имя столбца.
И, пожалуйста, добавьте ошибку как текст без изображения.
Пожалуйста, включите список полей таблицы, так как сама ошибка кажется довольно ясной и окончательной. Является ли "rok" одним из значений ваших переменных?
@abestrad: что не так с этим изображением ошибки?
Вы также должны прочитать о параметризованных запросах, чтобы избежать уязвимостей SQL-инъекций.
@sujithkarivelil никто не любит изображения с кучей текста, и не все сайты с изображениями доступны для всех нас, чтобы посмотреть
Мы собираем вопросы и ответы, чтобы служить ресурсом для людей, которые сталкиваются с проблемами при программировании. Проблема добавления изображений заключается в том, что они могут быть недоступны в будущем, но, поскольку мы используем Input, это вряд ли произойдет.
Возможный дубликат Каких хороших способов предотвратить внедрение SQL?

BugFinder · Answer 1 · 2019-02-13T07-56-00.000Z

Давайте посмотрим на ваш код:

      string queryReg = "INSERT INTO uporabnik2(uporabnisko_ime, geslo, email) " +
             "VALUES(" + RegistracijaUporabnisko + ", " + RegistracijaGeslo + ", " + RegistracijaMail + ")";

        using (SqlCommand command = new SqlCommand(queryReg, con))
        {
            con.Open();
            command.ExecuteNonQuery();
            con.Close();
        }

Итак, если RegistracijaUporabnisko имеет значение Rok, RegistracijaGeslo - значение Rok, а RegistracijaMail - значение Rok @home. Как теперь выглядит ваша строка? Что ж

 string queryReg = "INSERT INTO uporabnik2(uporabnisko_ime, geslo, email) VALUES(Rok,Rok,Rok@home)";

Рок, который он будет искать, это поле, а не значение. Отсюда и неверный столбец.

Так что, если вы сделали это общепринятым способом

  string queryReg = "INSERT INTO uporabnik2(uporabnisko_ime, geslo, email) VALUES(@RegistracijaUporabnisko ,@RegistracijaGeslo ,@email)";

    using (SqlCommand command = new SqlCommand(queryReg, con))
    {
        command.Parameters.AddWithValue("@RegistracijaUporabnisko ", RegistracijaUporabnisko );
        command.Parameters.AddWithValue("@RegistracijaGeslo ", RegistracijaGeslo );
        command.Parameters.AddWithValue("@email", email);
        con.Open();
        command.ExecuteNonQuery();
        con.Close();
    }

Что происходит сейчас? Ну, за кулисами текст вводится с кавычками вокруг него, даты отправляются в соответствующем формате, нумерация всего этого... обрабатывается для вас. Он защищает вас от инъекций, поэтому, если я "; drop table uporabnik2 имя "; drop table uporabnik2 вы не потеряете таблицу и т.д.

Большое спасибо! Это сработало для меня, и я многому научился!
@ RokŠekoranja Совершите экскурсию, чтобы узнать, как вы можете принимать ответы, нажав на флажок рядом с ответом, когда сообщение отвечает на ваш вопрос.

Marc Gravell · Answer 2 · 2019-02-13T07-27-00.000Z

Параметры (ниже) исправляют это и ряд других проблем, включая внедрение SQL, i18n/l10n и т.д. Также возможно, что вы просто опечатали имя столбца, и в этом случае мы не можем помочь вам с этим как мы не знаем настоящее имя.

string queryReg = "INSERT INTO uporabnik2(uporabnisko_ime, geslo, email) " +
     "VALUES(@uporabnisko_ime, @geslo, @email)";

using (SqlCommand command = new SqlCommand(queryReg, con))
{
    con.Open();
    command.Parameters.AddWithValue("@uporabnisko_ime", RegistracijaUporabnisko_txt.Text);
    command.Parameters.AddWithValue("@geslo", RegistracijaGeslo_txt.Text);
    command.Parameters.AddWithValue("@email", RegistracijaMail_txt.Text);
    con.Close();
}

Я также никогда не устану рекомендовать такие инструменты, как Dapper, для таких вещей:

con.Execute("INSERT INTO uporabnik2(uporabnisko_ime, geslo, email) " +
     "VALUES(@uporabnisko_ime, @geslo, @email)", new {
    uporabnisko_ime = RegistracijaUporabnisko_txt.Text,
    geslo = RegistracijaGeslo_txt.Text,
    email = RegistracijaMail_txt.Text });

который делает все, включая (при необходимости) открытие/закрытие соединения, построение команды, упаковку параметров и т.д.

Большое спасибо! Это сработало для меня, и я многому научился!

Tarun Dudhatra · Answer 3 · 2019-02-13T07-20-00.000Z

пытаться

string queryReg = "INSERT INTO uporabnik2(uporabnisko_ime, geslo, email) " +
                     "VALUES('" + RegistracijaUporabnisko + "', '" + RegistracijaGeslo + "', '" + RegistracijaMail + "')";

Как правило, вам нужно только заключить значение данных строкового типа, однако для большей безопасности всегда заключайте значение в одиночную кавычку в операторе вставки

«однако для большей безопасности всегда заключайте значение в одинарную кавычку в операторе вставки» - о боже, нет; вот как тебя взломали. Ответ всегда параметры. Там нет интересных исключений (в обычном коде, в любом случае).