c＃更新數據庫問題

Question

我想更新onButtonClick上的一組數據。 我有一個用戶名，出生日期， 與CurrentEmailAddress，NewEmailAdrress，ConfirmNewEmailAddress

我試着去更新他們都在一個單一的點擊。我能夠更新用戶名，但我無法更新出生日期和電子郵件地址。

下面是我的C＃代碼： 也注意到，myDBmanager是執行該更新文件並沒有問題

//SQL query 
     string updateSQL = "UPDATE user_profile,user_login SET "; 
     updateSQL += "user_profile.user_name = '" + txtUserName.Text + "', "; 
     updateSQL += "user_profile.user_dob = '" + txtDateOfBirth.Text + "'"; 


      if (txtNewPassword.Text != " " && txtNewEmailAddress.Text == " ") 
      { 
       updateSQL += ", user_login.user_passw = '" + txtNewPassword.Text + "'"; 
      } 
      else if (txtNewPassword.Text == " " && txtNewEmailAddress.Text != " ") 
      { 
       updateSQL += ", user_profile.user_email = '" + txtNewEmailAddress.Text + "'"; 

      } 
      else if (txtNewPassword.Text != " " && txtNewEmailAddress.Text != " ") 
      { 
       updateSQL += ", user_login.user_passw = '" + txtNewPassword.Text + "',"; 
       updateSQL += "user_profile.user_email = '" + txtNewEmailAddress.Text + "'"; 
      } 
      else { } 

      updateSQL += " WHERE user_profile.user_profile_id = 1 "; 
      updateSQL += " AND user_login.user_profile_id = 1 ;"; 
      updateSQL += Global.myDBManager.GetNewIndex(); 

      int update = Global.myDBManager.ExecuteSql(updateSQL); 



     //Close connection 
     Global.myDBManager.Disconnect(); 

Answer 1

傾聽這個問題中的意見 - 除了沒有真正爲您工作，您正在做的事情對於SQL注入攻擊來說是非常危險的並且已經成熟。谷歌爲「SQL注入C＃」和實施解決方案 - 這篇文章看起來很不錯：

http://www.codeproject.com/KB/database/SqlInjectionAttacks.aspx

一旦你固定的，你可能有/有某種被阻止你的代碼，從簡單的代碼的bug工作，因爲你的方法（除了漏洞）看起來不錯。

在方法的頂部粘貼一個斷點，並通過該方法工作，確保正在按預期構建SQL字符串。

希望有幫助！

Answer 2

對於檢查空字符串，使用

!string.IsNullOrWhiteSpace(txtNewPassword.Text) 

，而不是

txtNewPassword.Text != " " 

謝謝 Ashwani