cmd.executeNonQuery（）更新

Question

我有一個程序，用戶可以通過在文本框中輸入舊密碼並在獨立的文本框中輸入新密碼來更新其密碼。

更新查詢然後用新密碼更新數據庫。

Try 
      If tbOldPassword.Text <> "" Then 
       For Each Row In ds.Tables("sqlAddNewDetails").Rows 
        If Row.Item(0) = gblstrUserID Then 
         If Row.Item(1) = tbOldPassword.Text Then 
          If tbPassword.Text = tbRePassword.Text Then 

           'Updates the database 
           sqlUpdate = ("UPDATE Users SET Password = '" & tbPassword.Text & "' WHERE userID = " & Row.Item(0)) 
           Dim cmd As New OleDbCommand(sqlUpdate, con) 
           cmd.ExecuteNonQuery() 
           MsgBox("Password successfully changed") 
          Else : MsgBox("The passwords are not the same") 
          End If 
         Else : MsgBox("Invalid old password") 
         End If 
        End If 
       Next 
      End If 
     Catch ex As Exception 
      MsgBox(ex.Message) 
     End Try 

然而，每次的代碼獲取到cmd.ExecuteNonQuery（），它拋出了一個錯誤，指出存在的更新查詢語法錯誤。但是，如果我在Microsoft Access中使用此查詢，它工作正常，以便更新查詢本身寫入正確。什麼可能是錯的？

注意：我在同一Sub例程內的另一段代碼中使用UPDATE查詢，它在那裏工作。它關於這個查詢的東西。

注意那句話：如果我改變更新查詢來更新用戶設置電子郵件= ' 「& tbPassword.Text &」' 其中userid = 「& Row.Item（0）」 它的工作原理。關於引發錯誤的密碼。

Answer 1

密碼是一個關鍵字，因此如以下方括號包裹它，

UPDATE Users SET [Password] =.....

Answer 2

我必須看到錯誤味精，直到我注意到兩兩件事：

1 - con.Open（）不存在!!!，它可能無法運行結束 2 - 在查詢，如果用戶ID是號碼，以便查詢字符串應該是： "' WHERE userID = " & CStr(Row.Item(0))

如果用戶ID是一個字符串查詢字符串應該是： "' WHERE userID = '" & Row.Item(0) & "'"

Answer 3

我可能會檢查在執行發生之前查看sqlUpdate變量包含的內容。它很可能不包含你的想法。我會複製字符串值並將其粘貼到SQL Server Management Studio中，然後嘗試直接運行以驗證它。

話雖如此，我真的不會寫這個代碼使用字符串連接。你開放自己的SQL注入攻擊。如果用戶的密碼中有單引號，會發生什麼情況？使用SQL參數，而不是，是這樣的：

sqlUpdate = "UPDATE Users SET Password = ? WHERE userID = ?" 
cmd.Parameters.Add(tbPassword.Text) 
cmd.Parameters.Add(Row.Item(0)) 

嗯......我也可能不會使用的OleDb無論是。我會使用本地客戶端。

當然，我必須鏈接到經典XKCD Bobby Tables。