Вопрос к знатокам SQL

[АлМазСофт]

Имеется таблица Данные с полем Раздел, содержащее строки вида "!С!".
Надо заменить их на строки вида "С".
Использую запрос (простой или параметризированный) sql= string.Format("UPDATE Данные SET Данные.Раздел = '{0}' WHERE (Данные.Раздел='{1}')", @newRazdel, @Razdel);
Здесь Razdel- это !С!, а newRazdel - это С. С - это одиночный символ.
Все заменяется нормально, пока не встречается строка с Razdel = "!'!". Выдается окно с ошибками.

Снимок окна из облака почему-то не показывается. Там ошибка такая:
Лишняя скобка ) в выражении запроса '''' WHERE (Данные.Раздел='!'!')'.
Знатоки, подскажите, пожалуйста, как сделать эту замену. Может, в языке SQL есть неизвестные мне возможности для обработки таких строк?
А может нужно использовать какие-то другие способы?

[Stilet]

Цитата:

WHERE (Данные.Раздел='!'!')'

Не очень смотрится...
Ты запросы параметризировать умеешь?

[АлМазСофт]

Использую запрос (простой или параметризированный)
Результат одинаков

[Alex11223]

Точно параметризированный используете? Код покажите. Конкатенация строк и String.Format это не параметризированный запрос.
http://en.wikipedia.org/wiki/Prepare...t#C.23_ADO.NET


Более того, так не стоит делать делать никогда, ибо злой-редиска пользователь может таким образом выполнить произвольный SQL код, это называется SQL инъекция.

[АлМазСофт]

Вот один из моих вариантов:
string sql = string.Format("UPDATE Данные SET Данные.Раздел = '{0}' WHERE (Данные.Раздел='{1}' AND Данные.Код={2})", @newRazdel , @Razdel, kod);

Код:

     // Параметризованная команда
                        cmd.CommandType = CommandType.Text;
                        cmd.CommandText = sql;
           cmd.Connection = cnn;
           OleDbParameter param = new OleDbParameter();
            param.ParameterName = "@Раздел";
            param.Value = @Razdel;
            param.OleDbType = OleDbType.VarChar;
            param.Direction = ParameterDirection.Input;
            cmd.Parameters.Add(param);

            param = new OleDbParameter();
            param.ParameterName = "@Раздел";
            param.Value = @newRazdel; ;
            param.OleDbType = OleDbType.VarChar;
            param.Direction = ParameterDirection.Output;
            cmd.Parameters.Add(param);

            param = new OleDbParameter();
            param.ParameterName = "@Код";
            param.Value = kod;
            param.OleDbType = OleDbType.Integer;
            param.Direction = ParameterDirection.Input;
            cmd.Parameters.Add(param);

            cmd.ExecuteNonQuery();

[Alex11223]

Ну вот и я говорю

Цитата:

String.Format это не параметризированный запрос.

и с параметрами дальше вы что-то странное делаете, вы ж имя уже записали в команду своим Стринг.Форматом.

Смотрите пример по ссылке выше.

[Stilet]

Цитата:

param.Value = @Razdel;

А че @ действительно нужна?? О_о

[Alex11223]

Неа, он просто путает @ в самой строке с параметрами запроса и @ перед именем переменной.
Второе это для использования зарезервированных слов в качестве имени переменной

Код:

string @string = "a";
Console.WriteLine(@string);

и тут не несет никакого смысла.

[Stilet]

А я думал собачка только перед константной строкой ставится...

[АлМазСофт]

Цитата:

Сообщение от Stilet

Не очень смотрится...
Ты запросы параметризировать умеешь?

Вопрос решился настоящим параметризированным запросом!
Оказывается, я не то имел в виду под параметризированным запросом
Всем спасибо за участие.