„Anzahl der Abfragewerte und Zielfelder ist nicht die gleiche“

Question

try 
{ 
     connection.Open(); 
     OleDbCommand komanda = new OleDbCommand(); 
     command.Connection = konekcija; 
     command.CommandText = "insert into EmployeeData (FirstName,LastName,Pay) values('"+txt_fname.Text+"','"+txt_lname.Text+"','"+txt_pay.Text+"')"; 
     command.ExecuteNonQuery(); 
     MessageBox.Show("data saved"); 
     connection.Close(); 
} 
catch (Exception ex) 
{ 
     MessageBox.Show("error"+ex); 
} 

Answer 1

Die Wurzel des Problems ist, dass Sie nicht wirklich wissen, was Abfrage Sie ausführen. Weil Sie Code ausführen, den Ihre Benutzer Ihnen senden,.

In den meisten Nicht-Rand Fällen erscheint „arbeiten ganz gut“ (weshalb es oft unbemerkt), in einigen Fällen ist es eine Syntax oder strukturelle Fehler in der Abfrage verursacht (das ist hier, was passiert) und in einigen Fällen nutzen Benutzer sie aus, um beliebigen Code in Ihrer Datenbank auszuführen.

Dies ist eine SQL injection Schwachstelle.

Sie würden dies korrigieren, indem Sie Abfrageparameter verwendet, die Benutzereingabe als Werte behandeln anstatt als ausführbaren Code. Etwas wie folgt aus:

command.CommandText = "insert into EmployeeData (FirstName,LastName,Pay) values(?,?,?)"; 
command.Parameters.Add("@FirstName", OleDbType.VarChar, 50).Value = txt_fname.Text; 
command.Parameters.Add("@LastName", OleDbType.VarChar, 50).Value = txt_lname.Text; 
command.Parameters.Add("@Pay", OleDbType.VarChar, 50).Value = txt_pay.Text; 
command.ExecuteNonQuery(); 

Bitte beachte, dass ich auf der OleDbType und Größe der Spalten erraten haben. Passen Sie wie für Ihre Tabellenstruktur erforderlich an.