C# MySql Неизвестный столбец в предложении where

После того, как я попытаюсь вывести пароль в dataGrid из заданного имени пользователя в текстовом поле txt_Username, я получаю следующее сообщение об ошибке:

MySql.Data.MySqlClient.MySqlException: "Unknown column 'Test' in 'where clause'"

MySqlDataAdapter da = new MySqlDataAdapter("Select Password from tbl_anmeldedaten Where Username = " + txt_Username.Text, con);
da.SelectCommand.CommandType = CommandType.Text;
DataTable dt = new DataTable();
da.Fill(dt);
dataGridView1.DataSource = dt;

Используйте параметризованные запросы

— 30.10.2018 14:42

c# mysql

30.10.2018 14:40

Стоит ли изучать PHP в 2026-2027 годах?

Привет всем, сегодня я хочу высказать свои соображения по поводу вопроса, который я уже много раз получал в своем сообществе: "Стоит ли изучать PHP в...

Поведение ключевого слова "this" в стрелочной функции в сравнении с нормальной функцией

В JavaScript одним из самых запутанных понятий является поведение ключевого слова "this" в стрелочной и обычной функциях.

Приемы CSS-макетирования - floats и Flexbox

Здравствуйте, друзья-студенты! Готовы совершенствовать свои навыки веб-дизайна? Сегодня в нашем путешествии мы рассмотрим приемы CSS-верстки - в...

Тестирование функциональных ngrx-эффектов в Angular 16 с помощью Jest

В системе управления состояниями ngrx, совместимой с Angular 16, появились функциональные эффекты. Это здорово и делает код определенно легче для...

Концепция локализации и ее применение в приложениях React ⚡️

Локализация - это процесс адаптации приложения к различным языкам и культурным требованиям. Это позволяет пользователям получить опыт, соответствующий...

Пользовательский скаляр GraphQL

Листовые узлы системы типов GraphQL называются скалярами. Достигнув скалярного типа, невозможно спуститься дальше по иерархии типов. Скалярный тип...

1 627

Перейти к ответу Данный вопрос помечен как решенный

Ответы 2

Вы используете конкатенацию строк, которая является вектором атак с использованием SQL-инъекций. Возможно, имя пользователя в текстовом поле выполняет какой-то SQL, который ему нельзя разрешать (например, '' OR Test=1. Существует множество ресурсов по использованию параметризованных запросов, которые должны решить проблему.

это комментарий, а не ответ

— 30.10.2018 14:48

@ Dr.Snail иногда можно добиться большего, не показывая кода.

— 30.10.2018 14:49

см. ответ Тима или stackoverflow.com/help/how-to-answer для получения дополнительной помощи

— 06.11.2018 15:49

30.10.2018 14:43

Ответ принят как подходящий

Точная причина ошибки заключается в том, что вы пытаетесь выполнить следующий запрос:

SELECT Password
FROM tbl_anmeldedaten
WHERE Username = Test;

Похоже, на Test должны быть одинарные кавычки? Да, должен, и вы мог добавляете это в свой необработанный запрос. Но объединение такого запроса в C# оставляет возможность для SQL-инъекции. Намного лучший подход - использовать подготовленные операторы:

string sql = "SELECT Password FROM tbl_anmeldedaten WHERE Username = @val1";
MySqlCommand cmd = new MySqlCommand(sql, MySqlConn.conn);
cmd.Parameters.AddWithValue("@val1", txt_Username.Text);
cmd.Prepare();
MySqlDataReader rdr = cmd.ExecuteReader();
while (rdr.Read()) 
{
    // consume a record in the result set
}

Также укажите тип напрямую и используйте свойство Value лучше, чем AddWithValue. blogs.msmvps.com/jcoehoorn/blog/2014/05/12/…

— 30.10.2018 14:53

@ S.Akbari Это похоже на хорошую ссылку, но я не могу отредактировать свой ответ, не зная точно, какой тип столбца Username находится в реальной таблице.

— 30.10.2018 14:55

30.10.2018 14:44