返回值當我運行這段代碼:REQUEST.FORM用逗號
string MySQL = "Select * From RegisterDatabase Where uName = '" + Request.Form["username"] +"'";
它並沒有爲我工作,所以我想看看有什麼問題是,它原來有MySQL中的逗號。
Select * From RegisterDatabase Where uName = 'Test,'
我該如何解決這個問題?
使用以下
的Request.Form [ 「用戶名」]的ToString()更換( ' ''').Trim()。;
代碼傾向於SQL Injection attack。
你想參數化查詢這樣的 -
string query = "Select * From RegisterDatabase Where uName = @username";
// Remove "," from username
string username = Request.Form["username"].ToString().Replace(",", "");
MySqlCommand command = new MySqlCommand(query);
command.Parameters.AddWithValue("@username", username);
還是有些用處?username代替@username。
非常感謝! =) – Taabkl