在用户代码中未处理SQL异常

Question

当我在下面运行我的代码时，发生以下错误。我正在运行用户注册页面，其中包含名字，姓氏，用户名，密码等详细信息。 “ID”是我的主要关键。错误：“在System.Data.dll中发生类型'System.ArgumentException'的异常，但未在用户代码中处理 附加信息：初始化字符串的格式不符合从索引0开始的规范。”

using System; 
using System.Collections.Generic; 
using System.Linq; 
using System.Web; 
using System.Web.UI; 
using System.Web.UI.WebControls; 
using System.Configuration; 
using System.Data.SqlClient; 
using System.Data; 


namespace WebApplication_Assignment 
{ 
    public partial class User_Registration_WebForm : System.Web.UI.Page 
    { 
     protected void Page_Load(object sender, EventArgs e) 
     { 

     } 

     protected void Button_SubmitUserReg_Click(object sender, EventArgs e) 
     { 
      //Response.Write("Your registration is successful"); 

      string sql = "SELECT * from User_Table where User_Name = @username"; 

      using (SqlConnection connection = new SqlConnection("ConnectionString")) 
      using (SqlCommand command = new SqlCommand(sql, connection)) 
{ 
    var userParam = new SqlParameter("username", SqlDbType.VarChar); 
    userParam.Value = TextBox_UserName.Text; 

    command.Parameters.Add(userParam); 

    var results = command.ExecuteReader(); 
} 

Answer 1

因为您没有使用参数，所以您的姓氏（姓氏）几乎肯定是“O'Sullivan”请参阅单引号;它导致TSQL语句不正确地形成。

如果连接字符串，会遇到类似问题，并打开自己的SQL注入攻击。始终使用参数。

这里有一个简单的例子：

string sql = "SELECT * from employee where username = @username"; 

using (SqlConnection connection = new SqlConnection("connection string") 
using (SqlCommand command = new SqlCommand(sql, connection)) 
{ 
    var userParam = new SqlParameter("username", SqlDbType.VarChar); 
    userParam.Value = txtUsername.Text; 

    command.Parameters.Add(userParam); 

    var results = command.ExecuteReader(); 
} 

有对SO SQL注入攻击多次提到。这里有一个例子：

Why do we always prefer using parameters in SQL statements?