VB.net访问更新查询在更新查询错误中给出语法错误。我的查询如下:VB.net访问更新查询
query = "UPDATE users SET username='" & newUsername & "', password='" & newPassword & "', department='" & newDepartment & "', display_name='" & newDisplayName & "', email='" & newEmail & "', extension='" & newExtension & "', access_level='" & newAccessLevel & "' WHERE id=" & usrID
上述变量都没有任何符号。我究竟做错了什么?
::更新::
UPDATE users SET username='alison', password='farm1234',department='1',display_name='Alison *****', email='[email protected]**********.com', extension='1012',access_level='50' WHERE id=1
这是在查询运行为。
您做错的第一件事就是将自己暴露给SQL注入攻击。 Google it ...接下来你可能会实际运行该代码,然后准确地给出我们在变量查询中的内容... –
我真的不担心SQL注入,因为该公司只包含大约15个我们家庭办公室的人员,其中没有人对此有多少了解。我在其他时候使用了准备好的语句来进行SELECT查询,但这只是更快。另外你需要先登录,它使用准备好的语句。请参阅上面的更新。 –
永远,永远,假设你知道谁将会被系统使用。始终编码安全。所有你需要的是一些经理决定放宽这个范围,突然你有一个任务关键软件包有一个根本的缺陷。哦 - 让他们通过参数化的查询登录不是防守......你认为他们想要通过登录?如果有意图仅仅是用其他人慷慨/愚蠢地离开登录的计算机删除表格...... –