Проверка наличия пользователя на странице регистрации

Question

Проверка наличия пользователя на странице регистрации

1

Я пытаюсь проверить, было ли введенное имя пользователя уже в таблице базы данных Table в столбце с именем name. Если он еще не был использован, он может быть введен в таблицу, я проверил seperatle вставки, и он отлично работает.

    protected void Unnamed1_Click(object sender, EventArgs e)
    {
        string name = tbUser.Text;
        string pass = tbPass.Text;


        using (SqlConnection connection = new SqlConnection(conString))
        {
            connection.Open();

            string checkUser = "select Count(*) from dbo.Table where name = '"+name+"'";

            SqlCommand command = new SqlCommand(checkUser, connection);
            int temp = Convert.ToInt32(command.ExecuteScalar().ToString());
            if (temp == 1)
            {
                lblError.Text = "Username Taken";
            }
            else
            {
                command.Connection = connection;
                command.CommandType = System.Data.CommandType.Text;

                command.CommandText = "INSERT INTO [dbo].[Table] VALUES(@name, @pass)";

                command.Parameters.Add("@name", System.Data.SqlDbType.NVarChar, 50).Value = name;
                command.Parameters.Add("@pass", System.Data.SqlDbType.NVarChar, 50).Value = GetMd5Hash(pass);

                int rowsAffected = command.ExecuteNonQuery();
            }
        }
    }

error я get is, исключение типа "System.Data.SqlClient.SqlException" произошло в System.Data.dll, но не было обработано в коде пользователя

Дополнительная информация: Неправильный синтаксис рядом с ключевым словом "Таблица".

Cormac Hallinan 13 нояб. 2014, в 11:33

Источник

2

Ваше имя таблицы действительно таблица? Пожалуйста, не надо. Кроме того, почему вы не используете параметры SQL для первого запроса, как для второго? Вы открыты для инъекции SQL там
Michael B 13 нояб. 2014, в 10:38
0

Может быть использовать параметры SQL для имени.
anoop 13 нояб. 2014, в 10:40
1

Кажется, проблема в этой строке INSERT INTO [dbo].[Table] . Это должно быть что-то вроде INSERT INTO [dbo].[Users] , проверьте правильность имени таблицы в вашей базе данных. Кроме того, ваш первый вызов БД уязвим для внедрения SQL, вместо этого используйте параметризованный запрос.
oleksii 13 нояб. 2014, в 10:40
0

таблица является ключевым словом в SQL-сервере, вы можете использовать ключевое слово yes, но иногда возникают проблемы, я хотел бы указать на использование одной из сред ADO для работы с базой данных вместо написания всех этих строк ... взгляните на geniusescode.com/ ан / Index.html
thealghabban 13 нояб. 2014, в 10:47
0

да, таблица называется Table как единственный пример выхода, чтобы попытаться заставить ее работать, затем поместите ее в мой основной проект, где таблицы имеют правильное имя
Cormac Hallinan 13 нояб. 2014, в 10:49
0

Также попытайтесь преобразовать логику вызова базы данных в класс бизнес-уровня, поскольку вызовы DB в обработчиках событий - плохой дизайн и приведут к загроможденному коду с плохой ремонтопригодностью ...
mortb 13 нояб. 2014, в 11:04
0

Используйте параметризованный запрос и измените dbo.Table на dbo. [Таблица]. Это скажет SQL, что «таблица» - это не ключевое слово, а имя вашей таблицы.
Maco 13 нояб. 2014, в 11:33
0

изменил dbo.Table на [dbo]. [Table], глупая ошибка, мой мозг зажарен, работая над этим, спасибо всем за помощь
Cormac Hallinan 13 нояб. 2014, в 11:48

Показать ещё 6 комментариев

Теги:

c#

sql

asp.net

connection-string

registration

1 ответ

Ещё вопросы

Ваше имя таблицы действительно таблица? Пожалуйста, не надо. Кроме того, почему вы не используете параметры SQL для первого запроса, как для второго? Вы открыты для инъекции SQL там
Может быть использовать параметры SQL для имени.
Кажется, проблема в этой строке INSERT INTO [dbo].[Table] . Это должно быть что-то вроде INSERT INTO [dbo].[Users] , проверьте правильность имени таблицы в вашей базе данных. Кроме того, ваш первый вызов БД уязвим для внедрения SQL, вместо этого используйте параметризованный запрос.
таблица является ключевым словом в SQL-сервере, вы можете использовать ключевое слово yes, но иногда возникают проблемы, я хотел бы указать на использование одной из сред ADO для работы с базой данных вместо написания всех этих строк ... взгляните на geniusescode.com/ ан / Index.html
да, таблица называется Table как единственный пример выхода, чтобы попытаться заставить ее работать, затем поместите ее в мой основной проект, где таблицы имеют правильное имя
Также попытайтесь преобразовать логику вызова базы данных в класс бизнес-уровня, поскольку вызовы DB в обработчиках событий - плохой дизайн и приведут к загроможденному коду с плохой ремонтопригодностью ...
Используйте параметризованный запрос и измените dbo.Table на dbo. [Таблица]. Это скажет SQL, что «таблица» - это не ключевое слово, а имя вашей таблицы.
изменил dbo.Table на [dbo]. [Table], глупая ошибка, мой мозг зажарен, работая над этим, спасибо всем за помощь

Saravana Kumar · Answer 1 · 2014-11-13T09-37-00.000Z

Ошибка возникает в этой строке.

string checkUser = "select Count(*) from dbo.Table where name = '"+name+"'";

Решение:

Вам нужно поместить таблицу в [].

string checkUser = "select Count(*) from [dbo].[Table] where name = '"+name+"'";

Информация:

"Reserved keywords should not be used as object names. Databases upgraded from 
earlier versions of SQL Server may contain identifiers that include words not reserved 
in the earlier version, but that are reserved words for the current version of SQL Server.
You can refer to the object by using delimited identifiers until the name can be 
changed." http://msdn.microsoft.com/en-us/library/ms176027.aspx

а также

    "If your database does contain names that match reserved keywords, you must 
use delimited identifiers when you refer to those objects. For more information, 
see Identifiers (DMX)." http://msdn.microsoft.com/en-us/library/ms132178.aspx