Member 14090339 Ответов: 3

Как исправить ошибку времени выполнения при попытке создать поисковый запрос в базе данных access

Частная Субкоманда 8_click()
Dim SQL как строка

SQL = "выберите tblVisit.PatientID, tblPatients.Имя-отчество, tblPatients.Фамилия" _
& "DateDiff('yyyy',[tblPatients]![День Рождения],Сейчас Же()) Как возраст, tblVisit.[Дата Визита]" _
& "tblVisit.Диагноз" _
&ампер; "[имя] &ампер; '' &амп; [фамилия], как [имя поставщика] из tblPatients внутреннее соединение (tblDoctor внутреннее соединение tblVisit на tblDoctor.DoctorID = tblVisit.DoctorID) на tblPatients.PatientID = tblVisit.PatientID" _
& "WHERE [Firstname] = '" & Me.txtKeywords & "' "

Меня.subClientList.Форма.Источник записей = в SQL
Меня.subClientList.Форма.Обновление

Конец Подводной Лодки
?

Ошибка-это ошибка времени выполнения '3075'
синтаксическая ошибка (отсутствует оператор) в выражении запроса 'tvist'.[DateVisit]tblVist.Diagnosis[имя]& '' [фамилия]'

Что я уже пробовал:

Я перешел от двойных кавычек при запросе имени рецептурщика и при создании div даты

3 Ответов

Рейтинг:
28

OriginalGriff

Посмотрите на строку, которую вы генерируете:

SELECT tblVisit.PatientID, tblPatients.Firstname, tblPatients.LastnameDateDiff('yyyy',[tblPatients]![Birthday],Now()) AS Age, tblVisit.[Date Visit]tblVisit.Diagnosis[First Name] & ' ' & [Last Name] AS [Prescriber Names] FROM tblPatients INNER JOIN (tblDoctor INNER JOIN tblVisit ON tblDoctor.DoctorID = tblVisit.Do
ctorID) ON tblPatients.PatientID = tblVisit.PatientIDWHERE [Firstname] = 'Keyword'
Похоже ли это на действительный SQL для вас?

Вам нужно сесть и решить, какой запрос вы пытаетесь отправить в SQL, а затем "заполнить пробелы" для конкретных данных, которые вы хотите. То, что у вас есть, не имеет силы, и я понятия не имею, что вы пытаетесь сделать!

Добавьте к этому: никогда не объединяйте строки для построения SQL-команды. Это оставляет вас широко открытыми для случайной или преднамеренной атаки SQL-инъекции, которая может уничтожить всю вашу базу данных. Вместо этого всегда используйте параметризованные запросы.

Когда вы объединяете строки, вы вызываете проблемы, потому что SQL получает такие команды, как:
SELECT * FROM MyTable WHERE StreetAddress = 'Baker's Wood'
Цитата, добавленная пользователем, завершает строку в том, что касается SQL, и вы получаете проблемы. Но могло быть и хуже. Если я приду и наберу вместо этого: "x';DROP TABLE MyTable;--", то SQL получит совсем другую команду:
SELECT * FROM MyTable WHERE StreetAddress = 'x';DROP TABLE MyTable;--'
Которые SQL видит как три отдельные команды:
SELECT * FROM MyTable WHERE StreetAddress = 'x';
Совершенно правильный выбор
DROP TABLE MyTable;
Вполне допустимая команда "удалить таблицу" 
--'
А все остальное-это комментарии.
Так оно и происходит: выбирает любые совпадающие строки, удаляет таблицу из базы данных и игнорирует все остальное.

Поэтому всегда используйте параметризованные запросы! Или будьте готовы часто восстанавливать свою БД из резервной копии. Вы ведь регулярно делаете резервные копии, не так ли?

Рейтинг:
2

Richard MacCutchan

Уже опубликовано на сайте Попытка создать поисковый запрос, который принесет результаты поиска в базе данных access. Он вызывает ошибку runtime error '3075' - доски обсуждений Visual Basic[^Пожалуйста, не делайте репостов.

Рейтинг:
0

Patrice T 

SQL = "SELECT tblVisit.PatientID, tblPatients.Firstname, tblPatients.Lastname" _
& "DateDiff('yyyy',[tblPatients]![Birthday],Now()) AS Age, tblVisit.[Date Visit]" _
& "tblVisit.Diagnosis" _
& "[First Name] & ' ' & [Last Name] AS [Prescriber Names] FROM tblPatients INNER JOIN (tblDoctor INNER JOIN tblVisit ON tblDoctor.DoctorID = tblVisit.DoctorID) ON tblPatients.PatientID = tblVisit.PatientID" _
& "WHERE [Firstname] = '" & Me.txtKeywords & "' "

Никогда не создавайте SQL-запрос путем объединения строк. Рано или поздно вы сделаете это с помощью пользовательских вводов, и это откроет дверь к уязвимости под названием "SQL-инъекция", она опасна для вашей базы данных и подвержена ошибкам.
Одна кавычка в имени - и ваша программа выйдет из строя. Если пользователь вводит имя, например "Брайан О'Коннер", может привести к сбою вашего приложения, это уязвимость SQL-инъекции, и сбой-это наименьшая из проблем, вредоносный пользовательский ввод, и он продвигается к командам SQL со всеми учетными данными.
SQL-инъекция - Википедия[^]
SQL-инъекция[^]
Атаки SQL-инъекций на примере[^]
PHP: SQL-инъекция - руководство пользователя[^]
Шпаргалка по предотвращению инъекций SQL - OWASP[^]
Как я могу объяснить SQL-инъекцию без технического жаргона? - Обмен Стеками Информационной Безопасности[^]