Member 14716708 Ответов: 2

C# - синтаксическая ошибка: отсутствует операнд после унарного оператора

У меня есть проблема с запуском этого кода, который я получаю с youtube. Я перепробовал все, но это заставляет меня получать эту ошибку. Кто-нибудь может мне помочь?

Что я уже пробовал:

string strTextBox1 = TextBox1.Text.Trim().ToString();
            StringBuilder sb = new StringBuilder();
            sb.AppendFormat("( Convert (ID, 'System.String) LIKE '" + " {0} " + "')", strTextBox1);
            sb.AppendFormat("OR(FacilityName LIKE '*" + "{0}" + "*')", strTextBox1);

jimmson

Если вы получаете какую-то синтаксическую ошибку, то это не из того кода, который вы опубликовали.
У меня нет никаких проблем с его компиляцией.

phil.o

string strTextBox1 = TextBox1.Text.Trim().ToString();
Почему ты звонишь ToString() метод на чем-то, что уже является строкой?

2 Ответов

Рейтинг:
1

Patrice T 

string strTextBox1 = TextBox1.Text.Trim().ToString();
StringBuilder sb = new StringBuilder();
sb.AppendFormat("( Convert (ID, 'System.String) LIKE '" + " {0} " + "')", strTextBox1);
sb.AppendFormat("OR(FacilityName LIKE '*" + "{0}" + "*')", strTextBox1);

Не решение вашего вопроса, а еще одна проблема, которая у вас есть.
Никогда не создавайте SQL-запрос путем объединения строк. Рано или поздно вы сделаете это с помощью пользовательских вводов, и это откроет дверь к уязвимости под названием "SQL-инъекция", она опасна для вашей базы данных и подвержена ошибкам.
Одна кавычка в имени - и ваша программа выйдет из строя. Если пользователь вводит имя, например "Брайан О'Коннер", может привести к сбою вашего приложения, это уязвимость SQL-инъекции, и сбой-это наименьшая из проблем, вредоносный пользовательский ввод, и он продвигается к командам SQL со всеми учетными данными.
SQL-инъекция - Википедия[^]
SQL-инъекция[^]
Атаки SQL-инъекций на примере[^]
PHP: SQL-инъекция - руководство пользователя[^]
Шпаргалка по предотвращению инъекций SQL - OWASP[^]
Как я могу объяснить SQL-инъекцию без технического жаргона? - Обмен Стеками Информационной Безопасности[^]

Совет: когда вы составляете запрос, который не работает, сначала распечатайте полученный запрос, который вы отправляете на сервер, это может помочь увидеть, где находится синтаксическая ошибка.

Рейтинг:
0

OriginalGriff

Что там делает эта цитата?

sb.AppendFormat("( Convert (ID, 'System.String) LIKE '" + " {0} " + "')", strTextBox1);
                                ^
                                |
У него нет соответствующей цитаты...
Добавьте к этому, что тот, кто написал код, который вы не понимаете, является ... ГМ ... идиот.
Сначала его можно упростить до этого:
sb.AppendFormat("( Convert (ID, System.String) LIKE ' {0} ')", strTextBox1);
что гораздо более читабельно (и то же самое для вашей второй строки) или более современно, как это:
sb.AppendFormat($"( Convert (ID, System.String) LIKE ' {strTextBox1} ')");
Но... если это происходит где-то рядом с SQL, то не делайте этого! Никогда не объединяйте строки для построения команды SQL. Это оставляет вас широко открытыми для случайной или преднамеренной атаки SQL-инъекции, которая может уничтожить всю вашу базу данных. Вместо этого всегда используйте параметризованные запросы.

Когда вы объединяете строки, вы вызываете проблемы, потому что SQL получает такие команды, как:
SELECT * FROM MyTable WHERE StreetAddress = 'Baker's Wood'
Цитата, добавленная пользователем, завершает строку в том, что касается SQL, и вы получаете проблемы. Но могло быть и хуже. Если я приду и наберу вместо этого: "x';DROP TABLE MyTable;--", то SQL получит совсем другую команду:
SELECT * FROM MyTable WHERE StreetAddress = 'x';DROP TABLE MyTable;--'
Которые SQL видит как три отдельные команды:
SELECT * FROM MyTable WHERE StreetAddress = 'x';
Совершенно правильный выбор
DROP TABLE MyTable;
Вполне допустимая команда "удалить таблицу" 
--'
А все остальное-это комментарии.
Так оно и происходит: выбирает любые совпадающие строки, удаляет таблицу из базы данных и игнорирует все остальное.

Поэтому всегда используйте параметризованные запросы! Или будьте готовы часто восстанавливать свою БД из резервной копии. Вы ведь регулярно делаете резервные копии, не так ли?
А во-вторых, сравнение чисел в виде строк-очень плохая идея, поскольку сравнение строк работает путем сравнения первой различной пары символов в двух строках: так что порядок сортировки 
1
10
11
12
...
19
2
20
21
...
Не тот порядок, который вы ожидали.
Я бы задался вопросом о компетентности того, кто создал видео на YouTube, но это не удивительно, что большинство из них созданы людьми, которые ничего не знают о создании видео и еще меньше о предмете, который они освещают ...

Rob Philpott

Это немного странно, не так ли? Я не вижу, чтобы он приближался к SQL, потому что он не знает о системе.Строка (если только это не какое-то странное управляемое расширение), а сопоставление подстановочных знаков выполняется с помощью % not *. Может быть, какой-то набор данных. Я понятия не имею.

Но несоответствие цитат-это, скорее всего, то, что я бы подумал.

OriginalGriff

Я предполагаю, что это будет строка фильтра для DGV или что-то в этом роде, но ... с YouTube это может быть все, что угодно: он не должен работать, чтобы получить подписчиков, и это то, что им нужно.