Синтаксис sql подзапроса asp.net

Question

Я пытаюсь извинить этот SQL-запрос

Dim str As String = "UPDATE table1 SET " & _
            "number = '" & strc & "'," & _
            "code = '" & "123" & "'," & _
            "line= '" & dd1.text & "'," & _
            "sellr = '" & txtrun.text & "'," & _
            "endu= '" & txtex1.value+txtex2.value & "'" & _
             "WHERE number IN (select table1.number" & _
"FROM table1 INNER JOIN table2 ON table1.number = table2.number" & _
"WHERE ((table1.username)='" &  session("username") & "' AND (table1.pass)='" & session("pass") & "' AND (table2.sellnum)='" & session("sellnum") & "'));"

Синтаксическая ошибка в выражении запроса, и это первый раз, когда я использую вложенный подзапрос

все поля получают строковые значения

Так что, если кто-то скажет мне, как правильно написать этот запрос, я буду очень признателен

Answer 1

Вам не хватает пробелов после полей table1.number и table2.number в подзапросе.

Я не знаю, где вы используете этот запрос, но вы можете прочитать о SQL инъекция . Когда вы соединяете строки для построения SQL, ваш код может быть уязвим для злоумышленников, которые помещают код SQL в поля вашего приложения.