Question

サンプルコードは です。 SQLがチェックされ、外部のSQLクエリとして機能します。

代わりに、文字列内の値を連結する

public bool changes() 
    { 


     OleDbConnection myConnection = GetConnection(); 

     string myQuery = "UPDATE Login SET Pass='" + textBox1.Text + "' WHERE User='" + textBox2.Text + "'"; 

     OleDbCommand myCommand = new OleDbCommand(myQuery, myConnection); 

     try 
     { 
      myConnection.Open(); 
      myCommand.ExecuteNonQuery(); 
      myConnection.Close(); 

     } 
     catch (Exception ex) 
     { 
      MessageBox.Show(ex.Message); 
      return false; 
     } 

     return true; 
    } 

Answer 1

あなたのWHEREの部分は以下のとおりです。 Userはまた、あなたの現在のアプローチは、SQLインジェクションの脆弱性であるMS Accessでreserve wordであり、従って、[]

よう

WHERE [User]='" + textBox2.Text + "'" 

を使用してエスケープする必要があります。代わりに、別の答えで示唆されているように、

Answer 2

使用パラメータ：（他の誰かがリソースを適切に配置するため、推奨されているように）ここで

https://msdn.microsoft.com/en-us/library/system.data.oledb.oledbcommand.parameters(v=vs.110).aspx

は文を使用してとコードサンプルです：

using (OleDbConnection conn = new OleDbConnection(ConnString)) 
{ 
    using (OleDbCommand cmd = new OleDbCommand(SqlString, conn)) 
    { 
    cmd.CommandType = CommandType.Text; 
    cmd.Parameters.AddWithValue("FirstName", txtFirstName.Text); 
    cmd.Parameters.AddWithValue("LastName", txtLastName.Text); 
    conn.Open(); 
    cmd.ExecuteNonQuery(); 
    } 
}