0
私はこのコードを実行するとして値を返します。のRequest.Formはコンマ
Select * From RegisterDatabase Where uName = 'Test,'
これを修正するにはどうすればよいですか?
私はこのコードを実行するとして値を返します。のRequest.Formはコンマ
Select * From RegisterDatabase Where uName = 'Test,'
これを修正するにはどうすればよいですか?
使用
のRequest.Form [ "ユーザ名"]以下のToString()( ' ''')に置き換え.Trim()。。。
コードはSQL Injection attackです。
次のようなパラメータ化クエリにしたい -
string query = "Select * From RegisterDatabase Where uName = @username";
// Remove "," from username
string username = Request.Form["username"].ToString().Replace(",", "");
MySqlCommand command = new MySqlCommand(query);
command.Parameters.AddWithValue("@username", username);
またはその代わり@username
のいくつかの使用?username
。
ありがとうございました! =) – Taabkl