這段代碼有什麼問題？

Question

我已經編輯這一點，但同樣的問題：

Protected Sub SqlDataSource1_Updated(ByVal sender As Object, ByVal e As System.Web.UI.WebControls.SqlDataSourceStatusEventArgs) Handles SqlDataSource1.Updated 
    For Each myRow As GridViewRow In GridView1.Rows 
     'Find the checkbox 
     Dim lab1 As Label = DirectCast(myRow.FindControl("Label1"), Label) 
     Dim lab4 As Label = DirectCast(myRow.FindControl("Label4"), Label) 
     Try 
      Using conn = New SqlConnection(constr) 
       Using cmd = conn.CreateCommand() 
        conn.Open() 
        Dim sql As String = "UPDATE a1_ticket SET Travels = @travels WHERE travelid = @travelid" 
        cmd.CommandText = sql 
        cmd.Parameters.AddWithValue("@travels", lab4.Text) 
        cmd.Parameters.AddWithValue("@travelid", lab1.Text) 
        cmd.ExecuteNonQuery() 
       End Using 
      End Using 
     Catch ex As Exception 
      Response.Write(ex.Message) 
     End Try 
    Next 
End Sub 

ERROR： OBJECT引用不是設置爲一個對象

Answer 1

錯誤是在這條線的INSTANCE：Dim strSql As String = "UPDATE a1_ticket SET Travels = '" & lab4.Text & "' WHERE travelid =" & lab1.Text

travelid is Text so it should be travelid='" & lab4.Text & "'". 

Answer 2

我強烈懷疑這將是罪魁禍首：

Dim lab1 As Label = DirectCast(myRow.FindControl("Label1"), Label) 
Dim lab4 As Label = DirectCast(myRow.FindControl("Label4"), Label) 

FindControl如果無法找到具有該ID的控件，則返回null/Nothing。我的猜測是，因爲你可能有多行，所以每一行中的控件的ID都是自動生成的，並帶有額外的信息。我建議你看一下頁面上的HTML並查看正在生成的內容......你可能想要尋找一種更好的方法來找到一行中的單個控件。

正如評論中所述，您應該參數化SQL語句以避免SQL注入攻擊。