OriginalGriff
Вы не можете - как говорится в сообщении об ошибке - сравнить одно значение с несколькими значениями, используя "обычные" операторы сравнения. То, что вы сделали, - это сказали: "включите те, когда x = 1, 2 или 3", и компьютерам это не нравится. Однако вы можете использовать оператор IN:
... WHERE x IN [1, 2, 3]
Но ... не делай этого так. Никогда не объединяйте строки для построения команды SQL. Это оставляет вас широко открытыми для случайной или преднамеренной атаки SQL-инъекции, которая может уничтожить всю вашу базу данных. Вместо этого всегда используйте параметризованные запросы.
Когда вы объединяете строки, вы вызываете проблемы, потому что SQL получает такие команды, как:
SELECT * FROM MyTable WHERE StreetAddress = 'Baker's Wood'
Цитата, добавленная пользователем, завершает строку в том, что касается SQL, и вы получаете проблемы. Но могло быть и хуже. Если я приду и наберу вместо этого: "x';DROP TABLE MyTable;--", то SQL получит совсем другую команду:
SELECT * FROM MyTable WHERE StreetAddress = 'x';DROP TABLE MyTable;--'
Которые SQL видит как три отдельные команды:
SELECT * FROM MyTable WHERE StreetAddress = 'x';
Совершенно правильный выбор
DROP TABLE MyTable;
Вполне допустимая команда "удалить таблицу"
--'
А все остальное-это комментарии.
Так оно и происходит: выбирает любые совпадающие строки, удаляет таблицу из базы данных и игнорирует все остальное.
Поэтому всегда используйте параметризованные запросы! Или будьте готовы часто восстанавливать свою БД из резервной копии. Вы ведь регулярно делаете резервные копии, не так ли?
И вы не можете использовать значения параметров в предложениях IN, потому что они компилируются SQL в неподходящее время:
Использование разделенных запятыми строк параметров значений в предложениях SQL IN[
^]
Поэтому вам нужно будет очистить информацию о сеансе, прежде чем передавать ее в SQL, или найти лучший способ выполнения запроса.