个人中心
文章发布
退出
作者热门文章
- html - 出于某种原因,IE8 对我的 Sass 文件中继承的 html5 CSS 不友好?
- JMeter 在响应断言中使用 span 标签的问题
- html - 在 :hover and :active? 上具有不同效果的 CSS 动画
- html - 相对于居中的 html 内容固定的 CSS 重复背景?
25
4
public void RegisterUser(string passw,string uname ,string fname ,string lname, string email)
{
string strSql = @"INSERT INTO User (passw,uname,fname,lname,email) values ('" + passw + "','" + uname + "','" + fname + "','" + lname + "','" + email + "')";
cn.Open();
OleDbCommand cmd = new OleDbCommand(strSql,cn);
int yy= cmd.ExecuteNonQuery();
cn.Close();
cn.Dispose();
}
无论我做什么,我都会遇到同样的错误有人看到这里有什么问题吗?或者有另一种创造性的方法来解决这个问题谢谢
最佳答案
此处的代码可以根据用户输入动态更改。这就是导致错误的原因。
让我解释一下,如果您的任何输入字段包含撇号 [ ' ],则 SQL 会中断并且现在有一个未闭合的引号。
不仅如此,它还会使您的代码遭受 SQL 注入(inject)攻击。
所以我建议您使用参数来传递值,因为参数的处理方式不同,并且是安全的并且可以防止 SQL 注入(inject)。
public void RegisterUser(string passw,string uname ,string fname ,string lname, string email)
{
string strSql = @"INSERT INTO User (passw,uname,fname,lname,email) values (@passw,@uname,@fname,@lname,@email)";
cn.Open();
OleDbCommand cmd = new OleDbCommand(strSql,cn);
cmd.Parameters.AddWithValue("@passw",passw);
cmd.Parameters.AddWithValue("@uname",uname);
cmd.Parameters.AddWithValue("@fname",fname);
cmd.Parameters.AddWithValue("@lname",lname);
cmd.Parameters.AddWithValue("@email",email);
int yy= cmd.ExecuteNonQuery();
cn.Close();
cn.Dispose();
}
关于c# - 系统.Data.OleDb.OleDbException : Syntax error in INSERT INTO statement,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/10237780/
25
4
0
尽管 Jet/OLE DB 参数是相对的 well documented我无法理解这两个连接参数之间的区别: 第一个: Jet OLEDB:Transaction Commit Mode (DBPRO
此查询产生错误 No value given for one or more required parameters : using (var conn = new OleDbConnection("
当文件名有句点时,使用 OLEDB 读取 CSV 文件时出现问题。 我在 C# 中有一个代码,它使用 OleDBProvider 读取 CSV 文件。它适用于常规范式的文件名,例如 Budget.cs
自从我使用经典 ASP 和 Microsoft Access 进行一些编程以来,我们使用“Microsoft.Jet.Oledb”驱动程序来 Access 和显示数据已经很多年了。 我被要求做一些使用
我已经编译了来自运行 VS2007 ATL OLEDB Provider wizard 的示例 OleDb 提供程序代码.我在那篇博文中提供了更完整的细节。代码使 Excel 崩溃。 Sub Test
我正在尝试创建与位于 SharePoint 服务器上的 Excel 文件的 OleDb 连接。我正在玩的示例代码抛出 OleDb 异常“无效的互联网地址”: public static void Co
我得到以下异常 'Microsoft.ACE.OLEDB.12.0' provider is not registered on the local machine 虽然我已经安装了 'Microso
我正在使用 ASP 上的 OleDb 读取 excel 文件。网络(C#)。 所有信息都正常返回,我惊讶地发现,即使 Excel 文件中定义的单元格类型也返回到我的代码中。 问题是我有所有单元格“常规
有人有我可以在 Excel 的 CREATE TABLE 语句中使用的数据类型列表吗?我已经搜索过,但无法提出任何建议;至少不是任何官方的。从一个地方,我发现: CHAR(255) MEMO INT
我需要以编程方式检查 Excel 中多个 OLEDB 数据连接到 SQL 表和 View 的刷新日期。它们都以相同的方式配置并使用相同的连接字符串,我在 VBA 中使用以下命令检查它们: Connec
我正在编写一个 Web 应用程序,该应用程序将通过打开与经过身份验证的用户提交的 Excel 文件的 OLEDB 连接来读取数据。谁能告诉我以这种方式打开 Excel 文件的安全风险吗?我知道危险的宏
我们正在使用 ADO 访问 Oracle 10g 第 2 版,Oracle 10g 的 Oledb 提供程序。我们在连接池方面遇到了一些问题。数据库驻留在远程机器上,并且连接池正在发生。但是如果远程机
我管理一个导入 Excel 文档的旧应用程序。它已经运行了很长时间,但大约 6 个月前,它停止了工作。在断断续续地搜索错误几个月后,我终于发现我需要在 Exceldocument 中的工作表名称末尾添
我试图找到一种方法来保护查询字符串中的撇号。我有一个包含撇号的字符串格式的值,当我尝试插入时它抛出一个错误 例如: Insert into ["excelApp.worksheetsList.Elem
我有一个 C# 应用程序,它使用 OleDBConnection 连接到本地计算机上的命名 SQL Express 实例: _connection = new OleDbConnection(_str
目前我正在搜索连接字符串的属性,它可用于以只读模式连接到 Excel 文件。搜索 Google 得到了很多连接字符串的示例,但我似乎无法在 OleDb 连接字符串的“扩展属性”部分找到所有可能性的规范
我有一个 DataFlow 任务,应该提取大约 1800 万条记录,并在对它们执行一些任务后,将它们插入到另一个 OLEDB 目标中。 问题可以在下面的屏幕截图中看到。 我收到的错误如下: Infor
我有一个关于向命令(MySQL 或 OleDB,我目前使用这两者)添加参数以避免 SQL 注入(inject)的问题。 除了开放的注入(inject)漏洞之外,这个硬编码查询工作得绝对正常; var
我有一个使用 MySQL 数据库的 vb.net 程序。现在我将数据库更改为 Microsoft Access 2010。我更改了所有必要的设置,例如连接首选项、命令等。 问题是:我遇到了一个错误 m
我正在尝试找到一种方法来正确格式化从旧的 Visual Fox Pro 数据库加载数据的 SELECT 语句中的日期。我需要这样做,以便我可以将其加载到 CSV 中,然后将其加载到 MySQL 中,它
我是一名优秀的程序员,十分优秀!