我正在编写一个连接到ODAC的C#代码。我认为我的查询没有错误,但是我收到此错误,我不知道如何解决。
这是我的查询
comm.CommandText = "SELECT * FROM ZAEDBA WHERE USER_ID = '" + login_id +
"' AND APPID = '" + app_id + "' ;";
谁能弄清楚这里出了什么问题?
您的查询容易受到称为 SQL 注入的安全问题的攻击!
您永远不应该使用字符串连接来从字符串(某些 SQL,某些参数)构建查询...使用始终参数化的查询...
示例代码:
comm.BindByName = true;
comm.CommandText = "SELECT * FROM ZAEDBA WHERE USER_ID = :login_id AND APPID = :app_id";
comm.Parameters.AddWithValue ("login_id", login_id);
comm.Parameters.AddWithValue ("app_id", app_id);
为什么你的 sql 命令中有;?试试这个;
comm.CommandText = "SELECT * FROM ZAEDBA WHERE USER_ID = '" + login_id + "' AND APPID = '" + app_id "';
顺便说一下,您应该始终使用参数化查询。这显然是为sql注入打开的。对于您的查询,请使用如下;
string commandText = "SELECT * FROM ZAEDBA WHERE USER_ID = @login_id " + AND
+ "WHERE APPID = @app_id;";
command.Parameters.Add("@login_id", SqlDbType.Int);
command.Parameters["@login_id"].Value = login_id;
command.Parameters.Add("@app_id", SqlDbType.Int);
command.Parameters["@app_id"].Value = app_id;