【发布时间】:2011-06-26 16:52:15
【问题描述】:
我可以知道我的陈述有什么问题吗?我收到语法错误。整天都在试图找出问题所在。 :(
cmd.CommandText = "INSERT INTO LogIn(Username,Password) VALUES('" + AddUsernameTextBox.Text + "','" + AddPasswordTextBox.Text + "')";
【问题讨论】:
-
仅供参考,您允许此代码允许 SQL 注入!!!
-
构建后打印出字符串,看看是否符合您的预期。
-
@pacheco,你为什么要尝试一些坏事?你看到的问题不仅仅是黑客和SQL注入。也是用户在不知情的情况下在某些字段中输入引号并导致系统崩溃。那么为什么不按照他们应该的方式做事呢?
-
您的用户名或密码是否包含单引号?
-
你应该看看参数化查询...见csharp-station.com/Tutorials/AdoDotNet/Lesson06.aspx
标签: c# sql database ms-access oledb