sql - oledbCommand.executeNonQuery 更改日期时间格式

连接字符串时尝试构建查询时的大问题。这对于接触 SQL 注入来说是一件大事。最好的方法是使用 PARAMETERIZED 查询，您可以四处查看并找到它们，您可能只是不知道它们。

基本上在您的查询中，您使用“？” 作为您想要的参数的占位符，然后添加具有实际值/数据类型的参数对象，OleDb 查询会将其放置在其位置并具有正确的数据类型，因此您不必担心格式化字符串从特定顺序的日期开始。

另外，对于名字，如果你有一个人的名字“O'Conner”怎么办。您刚刚预先终止了查询字符串，否则会失败。你会严重挠头。

说了这么多，让我们回到你的查询，让它更具可读性，并参数化它......

您将 ms-access 称为数据库和 OleDb，这意味着您使用 C#、VB 或其他语言编写。我将使用 C# 进行演示，您可以根据需要更改为您的开发语言。

using(OleDbConnection connection1 = new OleDbConnection( WhateverYourConnectionString ) 
{
   connection1.Open();  
   using(OleDbCommand sqlcmd = new OleDbCommand("", connection1))
   {
      // simplified query and you can see the "?" place-holders
      sqlcmd.CommandText =
@"INSERT INTO Orders
  ( OrderDate,
    MemberID,
    CityID,
    OrderAdress,
    CreditCardID,
    OrderStatus )
  VALUES
  ( ?,
    ?,
    ?,
    ?,
    ?,
    'Not sent' )";

      // Now, add your parameters in the SAME ORDER as the "?" in the query
      sqlcmd.Parameters.AddWithValue("parmForDate", o.OrderDate ); 
      sqlcmd.Parameters.AddWithValue("parmForMember", o.MemberID ); 
      sqlcmd.Parameters.AddWithValue("parmForCity", o.CityID ); 
      sqlcmd.Parameters.AddWithValue("parmForAddress", o.OrderAddress ); 
      sqlcmd.Parameters.AddWithValue("parmForCard", o.CreditCardID ); 
      // since the last parameter is fixed, you can put that in explicitly.
      // you can similarly put fixed field of other strings, numbers.

      // Now you can execute it
      sqlcmd.ExecuteNonQuery();
   }

   connection1.Close()
}