为什么我在此更新语句中收到语法错误
本文关键字:语法 错误 语句 更新 为什么 | 更新日期: 2023-09-27 18:33:59
我想更新我的m/s访问数据库中的表,其中我的用户输入了新密码以替换旧密码,但是我在update语句中存在语法错误。请帮忙!
public partial class resetPassword : System.Web.UI.Page
{
protected void Page_Load(object sender, EventArgs e)
{
}
protected void SubmitButton_Click(object sender, EventArgs e)
{
string userName = (string) Session["username"];
string str = @"Provider=Microsoft.ACE.OLEDB.12.0;Data Source=C:'inetpub'wwwroot'JetStar'database'JetstarDb.accdb";
var con = new OleDbConnection(str);
con.Open();
string pwd = Request.Form["conPassword"];
OleDbCommand cmd = new OleDbCommand("UPDATE [users] SET password = '" + pwd + "' WHERE username = '" + userName + "'", con);
try
{
cmd.ExecuteNonQuery();
MessageBox.Show("Your password has been changed successfully.");
}
catch (Exception ex)
{
Response.Write(ex.Message);
}
finally
{
con.Close();
}
}
}
发生这种情况
可能是因为password
是Microsoft Access上的保留关键字。您应该将其与方括号一起使用,[password]
但更重要的是
应始终使用参数化查询。这种字符串串联对SQL注入攻击是开放的。
不要将密码存储为纯文本。阅读:在数据库中存储密码的最佳方法
使用using
语句来处置您的OleDbConnection
和OleDbCommand
。
using(OleDbConnection con = new OleDbConnection(str))
using(OleDbCommand cmd = con.CreateCommand())
{
cmd.CommandText = "UPDATE [users] SET [password] = ? WHERE username = ?";
cmd.Parameters.Add("pass", OleDbType.VarChar).Value = pwd;
cmd.Parameters.Add("user", OleDbType.VarChar).Value = userName;
con.Open();
try
{
cmd.ExecuteNonQuery();
MessageBox.Show("Your password has been changed successfully.");
}
catch (Exception ex)
{
Response.Write(ex.Message);
}
}
92.3% (a) 的数据库问题变得显而易见,如果您在使用命令之前打印命令并阅读错误消息。
所以替换:
OleDbCommand cmd = new OleDbCommand("UPDATE [users] SET password = '" + pwd + "' WHERE username = '" + userName + "'", con);
像这样:
String s = "UPDATE [users] SET password = '" + pwd + "' WHERE username = '" + userName + "'";
Console.WriteLine(s);
OleDbCommand cmd = new OleDbCommand(s, con);
然后发布以下结果:
Response.Write(ex.Message);
让所有人都看到,并非常仔细地检查它告诉你的内容。
(a) 我刚刚从哪里摘取的统计数据 - 实际价值可能大不相同。