0
我创建了一个网站,并且在我的登录系统中出现语法错误不断发生。临时查询字符串导致语法错误
conn.Open();
int amountOfUsers = (int)command.ExecuteScalar();
if (amountOfUsers == 1)
{
//User exists, check if the password match
query = string.Format("SELECT password FROM users WHERE name = '{0}", login);
command.CommandText = query;
string dbPassword = command.ExecuteScalar().ToString();
可能重复的[网站登录错误](http://stackoverflow.com/questions/22734342/website-login-error) – halfer
(我可以得到一些asp.net读者VtC,这是一个转发问题afaict - 谢谢)。 – halfer
请不要使用裸体字符串来执行SQL语句。使用参数化查询,它们一样容易编写,但速度更快,更安全并且完全避免了转换问题。如果用户输入了'drop table users;'作为登录名,或者只是'OR 1 = 1; - ',则显示图像。 –