我创建了一个网站。它是一个登录页面,它在Debug上运行正常,但是当我在服务器上部署它时出现了一个奇怪的错误。当我点击登录时出现了这个错误:
Invalid column name 'aa'.
Description: An unhandled exception occurred during the execution of the current web request. Please review the stack trace for more information about the error and where it originated in the code.
Exception Details: System.Data.SqlClient.SqlException: Invalid column name 'aa'.
Source Error:
Line 33:
Line 34: DataSet ds = new DataSet();
Line 35: dataAdapter.Fill(ds);
Line 36: DataTable dt = ds.Tables[0];
Line 37:
Source File: c:\inetpub\wwwroot\login.aspx.cs Line: 35
Stack Trace:
[SqlException (0x80131904): Invalid column name 'aa'.]
System.Data.SqlClient.SqlConnection.OnError(SqlException exception, Boolean breakConnection, Action`1 wrapCloseInAction) +388
System.Data.SqlClient.TdsParser.ThrowExceptionAndWarning(TdsParserStateObject stateObj, Boolean callerHasConnectionLock, Boolean asyncClose) +717
System.Data.SqlClient.TdsParser.TryRun(RunBehavior runBehavior, SqlCommand cmdHandler, SqlDataReader dataStream, BulkCopySimpleResultSet bulkCopyHandler, TdsParserStateObject stateObj, Boolean& dataReady) +4515
System.Data.SqlClient.SqlDataReader.TryConsumeMetaData() +61
System.Data.SqlClient.SqlDataReader.get_MetaData() +134
System.Data.SqlClient.SqlCommand.FinishExecuteReader(SqlDataReader ds, RunBehavior runBehavior, String resetOptionsString) +6557689
System.Data.SqlClient.SqlCommand.RunExecuteReaderTds(CommandBehavior cmdBehavior, RunBehavior runBehavior, Boolean returnStream, Boolean async, Int32 timeout, Task& task, Boolean asyncWrite, SqlDataReader ds) +6560327
System.Data.SqlClient.SqlCommand.RunExecuteReader(CommandBehavior cmdBehavior, RunBehavior runBehavior, Boolean returnStream, String method, TaskCompletionSource`1 completion, Int32 timeout, Task& task, Boolean asyncWrite) +586
System.Data.SqlClient.SqlCommand.RunExecuteReader(CommandBehavior cmdBehavior, RunBehavior runBehavior, Boolean returnStream, String method) +104
System.Data.SqlClient.SqlCommand.ExecuteReader(CommandBehavior behavior, String method) +288
System.Data.SqlClient.SqlCommand.ExecuteDbDataReader(CommandBehavior behavior) +171
System.Data.Common.DbCommand.System.Data.IDbCommand.ExecuteReader(CommandBehavior behavior) +15
System.Data.Common.DbDataAdapter.FillInternal(DataSet dataset, DataTable[] datatables, Int32 startRecord, Int32 maxRecords, String srcTable, IDbCommand command, CommandBehavior behavior) +325
System.Data.Common.DbDataAdapter.Fill(DataSet dataSet, Int32 startRecord, Int32 maxRecords, String srcTable, IDbCommand command, CommandBehavior behavior) +420
System.Data.Common.DbDataAdapter.Fill(DataSet dataSet) +275
login.ValidateUser(Object sender, EventArgs e) in c:\inetpub\wwwroot\login.aspx.cs:35
System.Web.UI.WebControls.Login.AttemptLogin() +160
System.Web.UI.WebControls.Login.OnBubbleEvent(Object source, EventArgs e) +93
System.Web.UI.Control.RaiseBubbleEvent(Object source, EventArgs args) +84
System.Web.UI.Page.ProcessRequestMain(Boolean includeStagesBeforeAsyncPoint, Boolean includeStagesAfterAsyncPoint) +3804
Version Information: Microsoft .NET Framework Version:4.0.30319; ASP.NET Version:4.0.30319.342
正如我所预期的那样,它必须是错误的登录,但是它会出现这个错误。我的代码是:
protected void ValidateUser(object sender, EventArgs e)
{
int userId = 0;
string constr = ConfigurationManager.ConnectionStrings["constr"].ConnectionString;
using (SqlConnection con = new SqlConnection(constr))
{
string query = "SELECT [OBJECTID] from dbo.OWNER where [owner_id]=" + Login1.UserName;
using (SqlDataAdapter dataAdapter = new SqlDataAdapter(query, con))
{
con.Open();
SqlCommandBuilder commandBuilder = new SqlCommandBuilder(dataAdapter);
DataSet ds = new DataSet();
dataAdapter.Fill(ds);
DataTable dt = ds.Tables[0];
userId = Convert.ToInt32(dt.Rows[0][0]);
if (userId.ToString() != Login1.Password)
{
userId = -1;
}
con.Close();
}
switch (userId)
{
case -1:
Login1.FailureText = "نام کاربری یا کلمه عبور صحیح نیست";
break;
case 0:
Login1.FailureText = "نام کاربری یا کلمه عبور صحیح نیست";
break;
case -2:
//Login1.FailureText = "Account has not been activated.";
break;
default:
FormsAuthentication.RedirectFromLoginPage(Login1.UserName, Login1.RememberMeSet);
break;
}
}
这是web.config文件中的数据库连接:
<connectionStrings>
<add name="constr" connectionString="Data Source=XXX.xxx.xxx.xxx\sqlexpress;Initial Catalog=land_gis;Persist Security Info=True;User ID=Land;Password=password"/>
你认为问题与数据库连接有关吗?我可以使用此连接运行我的调试没有问题但是当我将它们复制到wwwroot时会产生问题。我应该将数据库添加到IIS还是那样的?
非常感谢你的帮助
答案 0 :(得分:2)
除非Login1.UserName是一个数字,否则它在dev中也不起作用。您的查询未正确参数化,并且您没有引号,因此查询将显示SELECT [OBJECTID] from dbo.OWNER where [owner_id]=aa(假设您在用户名框中键入“aa”)。
如果您尝试运行此查询,它会认为aa是列名而不是实际值。
参数化你的查询,你应该没问题。
修改
不知怎的,我找不到一个好的,简短的教程,用于在C#中使用参数化查询。简而言之:
编写查询时,将变量作为占位符放入稍后将传递的值中。在C#中执行命令时,将填充这些变量。这使得您的代码可以安全地防止SQL注入(有人通过将SQL语句注入您的查询来执行不需要的脚本),这也意味着您不必担心所有的引号。
在C#中,按照您的方式使用DataSet,它看起来像:
using (var con = new SqlConnection(constr))
{
con.Open();
string query = "SELECT [OBJECTID] from dbo.OWNER where [owner_id] = @OwnerID";
using (var com = new SqlCommand(query, con))
{
com.Parameters.AddWithValue("@OwnerID", Login1.UserName);
using (var da = new SqlDataAdapter(com))
{
var ds = new DataSet();
da.Fill(ds);
Console.WriteLine(ds.Tables[0].Rows[0][0]);
}
}
}
有很多种方法可以编写相同的代码(不同的构造函数,不同的数据检索方式等),但重要的是永远不要让用户输入直接进入查询的文本,而是将参数附加到而是查询。
答案 1 :(得分:0)
您的连接似乎工作正常,因为它在堆栈跟踪中显示列名称无效&#39; aa&#39; 。但是您的查询没有此专栏。它只有 OBJECTID 。
如果您出于某种原因在查询中添加列aa并使用该错误部署代码,则可能会发生这种情况。