ASP.net - “错误的语法靠近“=”

Question

我正在尝试使用 ASP.NET 使用来自两个不同表的值登录，但我收到此错误：

“=”附近的语法不正确

代码：

protected void Button1_Click1(object sender, EventArgs e)
{
        try
        {
            conn.Open();
            SqlCommand cmd = new SqlCommand("Select Company_Master.Company_Code ='" + TextBox1.Text + "',Employee_Master.Emp_ID ='" + TextBox2.Text + "',Employee_Master.Emp_Pass ='" + Password1.Text + "' from Company_Master, Employee_Master where Company_Master.Company_Code = Employee_Master.Company_Code;");

            cmd.Connection = conn;
            SqlDataAdapter sda = new SqlDataAdapter(cmd);
            DataTable dt = new DataTable();

            sda.Fill(dt);

            cmd.ExecuteNonQuery();                

            sda.Fill(ds, "Company_Master,Employee_Master");

            if (ds.Tables[0].Rows.Count > 0)
            {
                Label1.Text = "sign up done";
            }
            else
            {
                Label1.Text = "wrong login";
            }
        }
        catch (Exception ex)
        {
            Response.Write(ex.Message);
        }
}

Answer 1

是否有人告诉您，您允许攻击者侵入您的 db 并获取任何信息或删除他们想要的任何内容？没有？

我必须说 Praveen，您应该始终使用参数化查询或尝试使用 Stored Procedures 从您的数据库中读取/写入/删除任何内容。

此外，您在那里的查询没有任何意义，所以，我假设您要选择选择 company_code 等于某事，employee id 等于某事，password 等于某事.

这是应该如何完成的，记住SqlInjections。

protected void Button1_Click1(object sender, EventArgs e)
{
        var dt = new DataTable();
        try
        {
            using(SqlCommand cmd = new SqlCommand("Select * from Company_Master cm join Employee_Master em on cm.Company_Code = em.Company_Code where cm.Company_Code = @companyCode and em.Emp_ID = @employeeId and em.Emp_Pass = @password", conn))
            {

                cmd.Parameters.AddWithValue("@companyCode", TextBox1.Text);
                cmd.Parameters.AddWithValue("@employeeId", TextBox2.Text);
                cmd.Parameters.AddWithValue("@password", Password1.Text);

                conn.Open();

                var sdr = cmd.ExecuteReader();
                dt.Load(sdr);

                if (dt.Rows.Count > 0)
                {
                    Label1.Text = "sign up done";
                }
                else
                {
                    Label1.Text = "wrong login";
                }
            }
        }
        catch (Exception ex)
        {
            Response.Write(ex.Message);
        }
}

注意，我已修改您的查询以支持 sql join，并且我已将查询修改为 using 块中的参数化查询。另外，数据集已修改为 DataTable，因为我注意到您没有获取多个表，而是引用了数据集的第零个索引 Tables。

Answer 2

String mycon = "Data Source =EL-0\\SQLEXPRESS; Initial Catalog=dbsBookManagementSystemAshnu;user id=sa;password=loncok#08";
            String myquery = "select bk_bookid,bk_bookname,bk_author,bk_bookdescription,bk_price,bk_specialprice from bmsa_books where bk_bookid = " + Request.QueryString["bk_bookid"];
            SqlConnection con = new SqlConnection(mycon);
            SqlCommand cmd = new SqlCommand
            {
                CommandText = myquery,
                Connection = con
            };
            SqlDataAdapter da = new SqlDataAdapter
            {
                SelectCommand = cmd
            };
            DataSet ds=new DataSet();
            da.Fill(ds,"bmsa_books");
            if (ds.Tables[0].Rows.Count > 0)
            {
                lblBookID.Text = ds.Tables[0].Rows[0]["bk_bookid"].ToString();
                lblBookName.Text = ds.Tables[0].Rows[0]["bk_bookname"].ToString();
                lblAuthor.Text = ds.Tables[0].Rows[0]["bk_author"].ToString();
                lblDescription.Text = ds.Tables[0].Rows[0]["bk_bookdescription"].ToString();
                lblPrice.Text = ds.Tables[0].Rows[0]["bk_price"].ToString();
                lblSpecialPrice.Text = ds.Tables[0].Rows[0]["bk_specialprice"].ToString();
            }
            con.Close();
}