public void RegisterUser(string passw,string uname ,string fname ,string lname, string email)
{
string strSql = @"INSERT INTO User (passw,uname,fname,lname,email) values ('" + passw + "','" + uname + "','" + fname + "','" + lname + "','" + email + "')";
cn.Open();
OleDbCommand cmd = new OleDbCommand(strSql,cn);
int yy= cmd.ExecuteNonQuery();
cn.Close();
cn.Dispose();
}
不管我做什么,我都会得到同样的错误
有人看到这里有问题吗?
或者有另一种创造性的方法来解决这个问题
谢谢
最佳答案
您的代码可以根据用户输入动态更改。这就是导致错误的原因。
让我解释一下您的任何输入字段是否包含撇号 [ ' ] sql 会中断并且现在有一个未闭合的引号。
不仅如此,它还将您的代码暴露给 SQL 注入(inject)攻击 .
所以我建议你使用参数 将值作为参数传递会被区别对待,并且是安全的,并且可以防止 SQL 注入(inject)。
public void RegisterUser(string passw,string uname ,string fname ,string lname, string email)
{
string strSql = @"INSERT INTO User (passw,uname,fname,lname,email) values (@passw,@uname,@fname,@lname,@email)";
cn.Open();
OleDbCommand cmd = new OleDbCommand(strSql,cn);
cmd.Parameters.AddWithValue("@passw",passw);
cmd.Parameters.AddWithValue("@uname",uname);
cmd.Parameters.AddWithValue("@fname",fname);
cmd.Parameters.AddWithValue("@lname",lname);
cmd.Parameters.AddWithValue("@email",email);
int yy= cmd.ExecuteNonQuery();
cn.Close();
cn.Dispose();
}
关于c# - System.Data.OleDb.OleDbException : Syntax error in INSERT INTO statement,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/10237780/