ASP.NET Zone

Ich will einfach daten einfügen in die datenbank aber heute weiß ich da einfach nicht weiter

so schaut der insert into befehl aus und die tabelle: bild

Ich habe folgendes in der programmierung:

string sql = "insert into karteiblatt_data(" +
                             "hersteller," +
                             "lfdnr," +
                             "lieferant," +
                             "herstellungsdatum," +
                             "invnr," +
                             "anschaffungsdatum," +
                             "verwendungsdauer," +
                             "ausscheidungsdatum," +
                             "pruefdatum," +
                             "lagerort," +
                             "pruefer) " +
                             "values("+Hersteller.Text+","+lfd.Text+","+lieferant.Text+
                             ","+ParseDateFormatToMMDDYYYY(herstellungsjahr.Text)+","+invnr.Text+","+ParseDateFormatToMMDDYYYY(anschaffungsjahr.Text)+
                             ","+verwendungsdauer.Text+","+Convert.ToDateTime(ausscheidungsdatum.Text)+","+pruefdatum.Date+","+lagerort.Text+","+Page.User.Identity.Name+");";
               

Das ist die konvertierungsfunktion
public static DateTime ParseDateFormatToMMDDYYYY(string oDate)
        {
            IFormatProvider fp = new System.Globalization.CultureInfo("de-DE");
            return DateTime.ParseExact(oDate, "MM/dd/yyyy", fp);
        }

Ich verstehe nicht warum er mir bei dem ersten datum immer schreibt das da ein fehler liegt und die parameter davor rot unterwellt sind.

danke.

andrei:

Ich verstehe nicht warum er mir bei dem ersten datum immer schreibt das da ein fehler liegt und die parameter davor rot unterwellt sind

Vermutlich weil herstellungsjahr.Text nur das Jahr beinhaltet und kein Datum.

Abgesehen davon bist Du offen für SQL-Injection ;-)

---

Gruß

Danke für deine Antwort. Ich habe das textfeld noch nicht umbenannt deswegen heißt es herstellungsjahr, aber es wird ein datetime übergeben 12.12.2012 12:34:12.
Wäre dir sonst was aufgefallen?

Ist zwar vom thema abschweifend aber wie kann ich die sql injection am schnellsten und einfachsten umgehen? Ich habe aus dem apress pro asp.net 4 buch eine möglichkeit probiert mit stored procedures usw. aber irgendwie wollte das bei mir nach einigen studen herumprobieren nicht so wirklich. Ist daraufhin auch die gridview mit dem insert usw. von sql injection betroffen nehm ich mal an.

Am besten wärs wenn Du mal genau angibst welcher Fehler genau geworfen wird. Du kannst auch mal einen Haltepunkt in der entsprechenden Zeile setzen und per Debugger schauen welche Werte die Parameter haben.

Bezüglich SQL-Injection, um welche Datenbank gehts denn? Parameter sind das Stichwort. Bei SQL-Server wäre das entsprechend die Klasse SqlParameter.

---

Gruß

Also als Fehlermeldung bekomme ich sowie auf dem Screenshot zu sehen "incorrect Syntax near .2017" Diese taucht bei executeNonQuery auf. Die zeile mit dem querystring ist genau diese die mit den feldern erstellt wurde ich habe sie nur in den sql server kopiert.
Aber hier nochmal der insert into befehl : insert into karteiblatt_data(hersteller,lfdnr,lieferant,herstellungsdatum,invnr,anschaffungsdatum,verwendungsdauer,ausscheidungsdatum,pruefdatum,lagerort,pruefer) values(asdf,asdf,adf,12.12.2017 00:00:00,asdf,12.12.2012 00:00:00,122,17.06.2022 18:52:45,19.04.2012 00:00:00,asdf,test);
Die Datenbank ist iene ganz normal mssql datenbank. sql server 2008 r2.

Hi,

wenn Du die Query wirklich in dieser Form zusammenbasteln willst, dann darfst Du die Anführungszeichen für Texte und Datum nicht vergessen.

Values('text','Datum',...)

Ansonsten solltest Du wirklich in Erwägung ziehen, eine paramtrierte Query einzusetzen:

string query="Insert into..... Values(@Text1,@Datum1,@Text2...)"

Für das Commandobjekt dann:

cm.Parameters.AddWithValue("@Text1",Text1.Text)
cm.Parameters.AddWithValue("@Datum1", ...)

das ist sicherer und lesbarer. Stell Dir vor einer Deiner Texte ist in Variante 1 mit einem Hochkomma versehen (O'Donald oder so).

HTH Thomas