OriginalGriff
Не делай этого так! Никогда не объединяйте строки для построения команды SQL. Это оставляет вас широко открытыми для случайной или преднамеренной атаки SQL-инъекции, которая может уничтожить всю вашу базу данных. Вместо этого всегда используйте параметризованные запросы.
Когда вы объединяете строки, вы вызываете проблемы, потому что SQL получает такие команды, как:
SELECT * FROM MyTable WHERE StreetAddress = 'Baker's Wood'
Цитата, добавленная пользователем, завершает строку в том, что касается SQL, и вы получаете проблемы. Но могло быть и хуже. Если я приду и наберу вместо этого: "x';DROP TABLE MyTable;--", то SQL получит совсем другую команду:
SELECT * FROM MyTable WHERE StreetAddress = 'x';DROP TABLE MyTable;--'
Которые SQL видит как три отдельные команды:
SELECT * FROM MyTable WHERE StreetAddress = 'x';
Совершенно правильный выбор
DROP TABLE MyTable;
Вполне допустимая команда "удалить таблицу"
--'
А все остальное-это комментарии.
Так оно и происходит: выбирает любые совпадающие строки, удаляет таблицу из базы данных и игнорирует все остальное.
Поэтому всегда используйте параметризованные запросы! Или будьте готовы часто восстанавливать свою БД из резервной копии. Вы ведь регулярно делаете резервные копии, не так ли?
Начните с десятичной дроби.TryParse преобразует входные данные пользователя в десятичные значения - сообщает об ошибках пользователю - а затем передает преобразованные значения непосредственно в качестве параметров. Таким образом, вы знаете, что отправляете в БД действительное и правильное.
OriginalGriff
Что БД, вероятно, предположит, что это 14025?
Используйте десятичную дробь.Попробуйте преобразовать его, если это необходимо, сообщив ему, какой формат использовал пользователь (по умолчанию для западных компьютеров 14.025, а не 14.025, поэтому вам может потребоваться указать культуру для правильного преобразования).
https://docs.microsoft.com/en-us/dotnet/api/system.decimal.tryparse?view=netframework-4.7.2
BASSIES
Привет ,
Найдя что-то после вашего ответа , я записываю это в базу данных как десятичное число с запятой
Получите значение из базы данных, и оно будет с запятой . Хорошо, что именно так я хочу видеть его в текстовом поле.
Когда я обновляю, я должен использовать точку ?
Не знаю почему, но я работаю.
Никогда не нужно делать это с точкой , может быть, я сейчас использую версию 2017 года ?
Спасибо.