在用戶代碼中未處理SQL異常

Question

當我在下面運行我的代碼時，發生以下錯誤。我正在運行用戶註冊頁面，其中包含名字，姓氏，用戶名，密碼等詳細信息。 「ID」是我的主要關鍵。錯誤：「在System.Data.dll中發生類型'System.ArgumentException'的異常，但未在用戶代碼中處理 附加信息：初始化字符串的格式不符合從索引0開始的規範。」

using System; 
using System.Collections.Generic; 
using System.Linq; 
using System.Web; 
using System.Web.UI; 
using System.Web.UI.WebControls; 
using System.Configuration; 
using System.Data.SqlClient; 
using System.Data; 


namespace WebApplication_Assignment 
{ 
    public partial class User_Registration_WebForm : System.Web.UI.Page 
    { 
     protected void Page_Load(object sender, EventArgs e) 
     { 

     } 

     protected void Button_SubmitUserReg_Click(object sender, EventArgs e) 
     { 
      //Response.Write("Your registration is successful"); 

      string sql = "SELECT * from User_Table where User_Name = @username"; 

      using (SqlConnection connection = new SqlConnection("ConnectionString")) 
      using (SqlCommand command = new SqlCommand(sql, connection)) 
{ 
    var userParam = new SqlParameter("username", SqlDbType.VarChar); 
    userParam.Value = TextBox_UserName.Text; 

    command.Parameters.Add(userParam); 

    var results = command.ExecuteReader(); 
} 

Answer 1

因爲您沒有使用參數，所以您的姓氏（姓氏）幾乎肯定是「O'Sullivan」請參閱單引號;它導致TSQL語句不正確地形成。

如果連接字符串，會遇到類似問題，並打開自己的SQL注入攻擊。始終使用參數。

這裏有一個簡單的例子：

string sql = "SELECT * from employee where username = @username"; 

using (SqlConnection connection = new SqlConnection("connection string") 
using (SqlCommand command = new SqlCommand(sql, connection)) 
{ 
    var userParam = new SqlParameter("username", SqlDbType.VarChar); 
    userParam.Value = txtUsername.Text; 

    command.Parameters.Add(userParam); 

    var results = command.ExecuteReader(); 
} 

有對SO SQL注入攻擊多次提到。這裏有一個例子：

Why do we always prefer using parameters in SQL statements?