C# 必须声明标量变量"@用户名";
我必须做一个简单的登录,当你在浏览器中插入(“)时不会崩溃,所以我需要参数化查询字符串,但出于某种原因,我得到一个错误,说: 必须声明标量变量“@UserName” 这是密码C# 必须声明标量变量"@用户名";,c#,asp.net,webforms,C#,Asp.net,Webforms,我必须做一个简单的登录,当你在浏览器中插入(“)时不会崩溃,所以我需要参数化查询字符串,但出于某种原因,我得到一个错误,说: 必须声明标量变量“@UserName” 这是密码 private void DoSqlQuery() { try { SqlConnection conn = new SqlConnection(ConfigurationManager.ConnectionStrings["RolaConnectionString"].Connecti
private void DoSqlQuery()
{
try
{
SqlConnection conn = new SqlConnection(ConfigurationManager.ConnectionStrings["RolaConnectionString"].ConnectionString);
conn.Open();
string checkUser = "select * from UserData where UserName = @UserName";
SqlCommand com = new SqlCommand(checkUser, conn);
com.Parameters.AddWithValue("@Username", txtUserName.Text.Trim());
int temp = Convert.ToInt32(com.ExecuteScalar().ToString());
conn.Close();
if (temp == 1)
{
conn.Open();
string checkPassword = "select Password from UserData where UserName = @UserName";
SqlCommand passConn = new SqlCommand(checkPassword, conn);
com.Parameters.AddWithValue("@Username", txtUserName.Text.Trim());
string password = passConn.ExecuteScalar().ToString();
conn.Close();
if (password == txtPassword.Text)
{
Session["New"] = txtUserName.Text;
Response.Write("Password is correct");
Response.Redirect("~/LoggedIn.aspx");
}
else
{
Response.Write("Password is not correct");
}
}
else
{
Response.Write("Username is not correct");
}
}
catch(Exception e)
{
Response.Write(e.ToString());
}
}
您在内部
if
语句中引用了错误的命令:
string checkPassword = "select Password from UserData where UserName = @UserName";
SqlCommand passConn = new SqlCommand(checkPassword, conn);
com.Parameters.AddWithValue("@Username", txtUserName.Text.Trim());
^^^-- should be passConn
因此,您的第二个命令永远不会添加参数,因此您会得到您提到的错误。区分大小写也可能是一个问题,但这取决于数据库的排序规则-默认情况下SQL Server不区分大小写
其他一些与您的问题无关的建议:
- 使用语句在
中包装命令和连接
- 在一次查询中查询用户名和密码(
)。黑客将首先搜索有效用户名,然后尝试使用字典攻击破解密码。试图找到匹配的组合要困难得多,其中username=@username and password=@password
- 不要以纯文本形式存储密码-请使用
- 或者只使用内置的安全提供者,而不是自己的
@Username
不等于@Username
在第二次查询中,您有名为passConn
的SqlCommand
,但您正在将参数添加到com
-而不是passConn
…并且:请不要将密码存储在明文i中n你的数据库!!是的,我同意你的看法。这只是一个演示如何防止有人在文本框中插入SQL简介,或在url中插入任何内容以进入帐户。好的,谢谢,我现在就开始工作了。我将进行这些更改。谢谢你的建议和帮助。