vb.net escape mots-clés réservés dans l'instruction SQL

Question

J'essaie d'exécuter une instruction sql dans vb.net vers une base de données Access, j'échappe au mot reserverd en utilisant des crochets []. Cela a fonctionné dans toutes mes instructions SELECT dans le programme.

Le mot réservé est level

Mais l'instruction SQL inférieure ne tient pas dire

Erreur de syntaxe dans INSERT INTO.

Si je copie directement la déclaration et exécute ce dans Access il fonctionne très bien

datalayer.getDataTable(String.Format("INSERT INTO users (username, password, [level]) VALUES ({0}, {1}, {2})", username, password, level)) 

La déclaration ci-dessus fonctionne si je retire [niveau] et le remplacer par un autre nom de colonne.

Merci.

Answer 1

Vous ne masquez pas vos valeurs entre guillemets. Essayez ceci:

datalayer.getDataTable(String.Format(
"INSERT INTO users (username, password, [level]) VALUES ('{0}', '{1}', '{2}')", 
username, password, level)) 

Cependant, comme Andrew le dit, vous devriez vraiment utiliser des paramètres. Dans Access SQL (David W Fenton viendra bientôt et dire qu'il est "Jet" SQL) vous devez utiliser les paramètres de position. Votre déclaration alors ressembler à ceci:

INSERT INTO users (username, password, [level]) VALUES (?, ?, ?) 

Vous auriez besoin de créer des objets OleDbParameter avec les valeurs correctes, et un OleDbCommand avec le texte ci-dessus pour exécuter afin de faire votre insert.

Answer 2

Toujours utiliser parameters. Ce que vous faites est très dangereux et laisse la porte ouverte à SQL injection.

Ensuite, vous n'aurez plus à vous soucier d'échapper les valeurs que vous insérez dans la base de données.