必须声明标量变量" @ UserName"

时间:2015-04-01 16:50:15

标签: c# asp.net webforms

我必须做一个简单的登录,当你插入浏览器时不会崩溃(")所以我需要参数化查询字符串,但由于某种原因,我得到一个错误说:

  

必须声明标量变量" @ UserName"

这是代码

private void DoSqlQuery() 
{
    try 
    {
        SqlConnection conn = new SqlConnection(ConfigurationManager.ConnectionStrings["RolaConnectionString"].ConnectionString);
        conn.Open();
        string checkUser = "select * from UserData where UserName = @UserName";
        SqlCommand com = new SqlCommand(checkUser, conn);
        com.Parameters.AddWithValue("@Username", txtUserName.Text.Trim());

        int temp = Convert.ToInt32(com.ExecuteScalar().ToString());
        conn.Close();
        if (temp == 1)
        {
            conn.Open();
            string checkPassword = "select Password from UserData where UserName = @UserName";
            SqlCommand passConn = new SqlCommand(checkPassword, conn);
            com.Parameters.AddWithValue("@Username", txtUserName.Text.Trim());
            string password = passConn.ExecuteScalar().ToString();
            conn.Close();
            if (password == txtPassword.Text)
            {
                Session["New"] = txtUserName.Text;
                Response.Write("Password is correct");
                Response.Redirect("~/LoggedIn.aspx");
            }
            else
            {
                Response.Write("Password is not correct");
            }
        }
        else
        {
            Response.Write("Username is not correct");
        }
    }
    catch(Exception e)
    {
        Response.Write(e.ToString());
    }
}

1 个答案:

答案 0 :(得分:0)

您在内部if语句中引用了错误的命令:

string checkPassword = "select Password from UserData where UserName = @UserName";
SqlCommand passConn = new SqlCommand(checkPassword, conn);
com.Parameters.AddWithValue("@Username", txtUserName.Text.Trim());
^^^--  should be passConn

因此,您的第二个命令永远不会添加参数,因此您会收到您提到的错误。区分大小写可能也是一个问题,但它取决于数据库的排序规则 - 默认情况下,SQL Server不区分大小写。

与您的问题无关的其他一些建议:

  • using语句中包装命令和连接
  • 在一个查询中查询用户名和密码(WHERE UserName = @UserName AND Password = @Password)。黑客将首先搜索有效的用户名,然后尝试使用字典攻击来破解密码。试图找到匹配的组合很多更难。
  • 请勿以纯文本格式存储密码 - 请使用salted hash
  • 或者只使用内置的安全提供程序,而不是自己动手。
相关问题
最新问题