此
sqlQuery = "SELECT username, password" + "FROM accounts" + " WHERE username ='"+username.text+"' AND password ='"+password.text+"'";
答案 0 :(得分:2)
这看起来不正确:
'password" + "FROM accounts'
这不给吗?
passwordFROM accounts
您在那里需要一个空间〜
'password" + " FROM accounts'
答案 1 :(得分:1)
即使您修复了查询的语法问题,我也希望这不是生产代码。由于这种编码方式会使您的应用程序遭受SQL注入。
例如: 如果将“用户名”设置为任意值,并且在“密码”字段中将<1或'1'='1>放在其中,则查询将按以下方式构造
sqlQuery = "SELECT username, password " + "FROM accounts" + " WHERE username ='anything' AND password ='1' OR '1'='1'";
换句话说,它将执行如下。
SELECT username, password FROM accounts WHERE username ='anything' AND password ='1' OR '1'='1'
这意味着从帐户表中获取所有用户名和密码。!