Alguien me puedo ayudar

Hola:
La respuesta facil: Eliminar el & antes de pais.
La respuesta dificil, deja de hacerlo asi :(
Que ocurriria si el usuario escribe en el textbox txtPoblacion la
siguiente sentencia:
';DROP TABLE CP;--
El concatenar comandos como lo estas haciendo lo hace muy suceptible a
inyeccion de codigo. Te recomiendo que utilices procedimientos almacenados
con parametros y no concatenar si quieres reducir sustancialmente el riesgo.
Saludos,

Javier Loria
Costa Rica
Se aprecia la inclusion de DDL (CREATE, INSERTS, etc.)
que pueda ser copiado y pegado al Query Analizer.
La version de SQL y Service Pack tambien ayuda

"juan" <s> wrote in message news:

Hola gente:

Me podriais decir que es lo que esta mal de esta SQL

CP es numerico, las demas son alfanumericas

sql = "UPDATE CP SET POBLACION='" & UCase(txtPoblacion.Text) &
"',PROVINCIA='" & cbProvincia.Text & "',&PAIS='" & cbPais.Text &
"',POBLACION='" & txtPoblacion.Text & "' where CODIGO=" & txtCP.Text

Haz esto: muéstranos el contenido que quedó en la variable 'sql' una vez
que haz asignado todo el string.



"juan" <s> wrote in message news:s:

Hola gente:

Me podriais decir que es lo que esta mal de esta SQL

CP es numerico, las demas son alfanumericas

sql = "UPDATE CP SET POBLACION='" & UCase(txtPoblacion.Text) &
"',PROVINCIA='" & cbProvincia.Text & "',&PAIS='" & cbPais.Text &
"',POBLACION='" & txtPoblacion.Text & "' where CODIGO=" & txtCP.Text

Gustavo Larriera, MVP
Uruguay LatAm
http://sqljunkies.com/weblog/gux/
Este mensaje se proporciona "COMO ESTA" sin garantias y no otorga ningun
derecho / This posting is provided "AS IS" with no warranties, and
confers no rights.