Flower@12 Ответов: 1

Execute scalar требует, чтобы команда имела транзакцию

Мой проект разработан в VB, а бэк-энд-mssql2005.Мне нужно вставить свои значения from, но это показывает следующую ошибку.Когда я нажимаю кнопку Сохранить Она показывает эту ошибку 


ExecuteScalar requires the command to have a transaction when the connection assigned to the command is in a pending local transaction.  The Transaction property of the command has not been initialized.


Что я уже пробовал:

Это мой код.

Публичная Функция ExecuteScalar(ByVal PstrSql As String) В Качестве Объекта
Dim objCmd как новая команда SqlCommand
objCmd.Свойства Commandtext = PstrSql.Нижестоящим
objCmd.Подключение = ГКОН
ExecuteScalar = objCmd.Executescalar так()
Конечная Функция

1 Ответов

Рейтинг:
10

OriginalGriff

Ваша проблема заключается в том, что у вас есть глобальный объект подключения, который вы используете везде - и где-то в вашем приложении вы не "завершаете" операцию. Это может быть считыватель, который вы не закрываете, транзакция, которую вы не совершили или откатили, или какая - то другая операция-мы не можем сказать.

Но вы не можете завершить новую операцию БД, пока не будет завершена старая, потому что соединение занято "старой" работой.
Лучший способ обойти это-всегда создавать свои объекты соединения, когда они вам нужны внутри a Using блокируйте так, чтобы соединение автоматически закрывалось и удалялось, когда вы закончите с ним.

Но... этот код не очень хорош - сам факт того, что вы передаете ему только строку в качестве SQL - команды, подразумевает, что вы уязвимы для SQL-инъекции, потому что вы не предоставляете механизма для передачи параметров в запрос-поэтому вы, вероятно, делаете что-то вроде

Dim result As Integer = ExecuteScalar("SELECT stockLevel FROM Stock WHERE productName = '" & prodName.Text & "'")
И это очень плохо.

Никогда не объединяйте строки для построения команды SQL. Это оставляет вас широко открытыми для случайной или преднамеренной атаки SQL-инъекции, которая может уничтожить всю вашу базу данных. Вместо этого всегда используйте параметризованные запросы.

Когда вы объединяете строки, вы вызываете проблемы, потому что SQL получает такие команды, как:
SELECT * FROM MyTable WHERE StreetAddress = 'Baker's Wood'
Цитата, добавленная пользователем, завершает строку в том, что касается SQL, и вы получаете проблемы. Но могло быть и хуже. Если я приду и наберу вместо этого: "x';DROP TABLE MyTable;--", то SQL получит совсем другую команду:
SELECT * FROM MyTable WHERE StreetAddress = 'x';DROP TABLE MyTable;--'
Которые SQL видит как три отдельные команды:
SELECT * FROM MyTable WHERE StreetAddress = 'x';
Совершенно правильный выбор
DROP TABLE MyTable;
Вполне допустимая команда "удалить таблицу" 
--'
А все остальное-это комментарии.
Так оно и происходит: выбирает любые совпадающие строки, удаляет таблицу из базы данных и игнорирует все остальное.

Поэтому всегда используйте параметризованные запросы! Или будьте готовы часто восстанавливать свою БД из резервной копии. Вы ведь регулярно делаете резервные копии, не так ли?