VB 2005 中的日期时间问题

Question

我正在使用 VB2005 和 SQL SERVER 2000。

PVAR_SQL_STR = "INSERT INTO GLR_US_PERIOD (ORG5_CODE,PERIOD_YEAR,PERIOD_CODE," _
    "PERIOD_NO,FROM_DATE,TO_DATE,INSERT_USER,INSERT_DATE) VALUES " _
    & "('" & PVAR_COMPANY_CODE & "' ,'" & TextBox1.Text & "','" & Serial1.Text & _
    "'," & TextBox2.Text & ", '" + DateTimePicker1.Value.ToString("D") + "' ,'" + _
    DateTimePicker2.Value.ToString("D") + "','" & PVAR_USER_CODE & "','" + _
    Now.ToString("F") + "')"

从字符串转换日期时间时出现语法错误仅因为这部分：

Now.ToString("F")

为什么，我不知道，但是当我更改为

Now.ToString("D")

它时效果很好，但它只保存日期。我想插入日期和时间。

Answer 1

简单的答案是根本不要尝试将其全部构建到 SQL 语句中。请改用参数化查询，并将参数值设置为 DateTime.Now（或 DateTime.UtcNow）。

参数化查询也是对 SQL 注入攻击的有效防护。将一般数据（尤其是用户提供的数据）直接插入到 SQL 语句中会导致灾难。

请参阅 文档有关 SqlCommand.Parameters 的详细信息 - 或查阅有关 ADO.NET 的任何不错的教程或书籍。