0

我在登录页面中编写了此代码。我的代码没有任何错误,但更新查询不适用于我的数据库。
拳头查询有效,我重定向到index.aspx但更新查询(第二个查询)不适用!!!!

protected void btnLogin_Click(object sender, EventArgs e)
    {
        Database db1 = new Database();
        string query = "select * from Admins where UserName=@username and cast(Password as varbinary)=cast(@password as varbinary)";
        SqlCommand smd = new SqlCommand(query, db1.sc);
        smd.Parameters.AddWithValue("@username", txtUsername.Text);
        smd.Parameters.AddWithValue("@password", General.CreatePasswordHash(txtPassword.Text));
        SqlDataReader sdr = smd.ExecuteReader();
        smd.Parameters.Clear();
        if (sdr.Read())
        {
            Session.Add("username", sdr[0].ToString());
            string nowEnter = sdr[5].ToString();
            query = "update Admins set LastEnter=@lastEnter, NowEnter=@nowEnter where UserName=@username";
            string now = General.getPersianDateNow() + " ساعت " + General.getPersianTimeNow();
            smd.CommandText = query;
            smd.Parameters.AddWithValue("@lastEnter", nowEnter);
            smd.Parameters.AddWithValue("@nowEnter", now);
            smd.Parameters.AddWithValue("@username", sdr[1].ToString());
            sdr.Close();
            smd.ExecuteNonQuery();
            Response.Redirect("~/admin/Index.aspx", false);
        }
        else
        {
            lblError.Visible = true;
        }
}
4

2 回答 2

3

在我看来,问题出在sdr. 您调用的第一个

Session.Add("username", sdr[0].ToString());

您使用下面的两行

 smd.Parameters.AddWithValue("@username", sdr[1].ToString());

无论如何,最安全的方法是使用命名列创建选择语句而不是使用*

于 2013-05-03T21:28:33.883 回答
0

检查您用于用户名的值是否存在于表中。

您还添加了两次相同的参数。我不知道 SqlCommand 类将如何处理它,我现在无法对其进行测试,但我认为smd.Parameters.Clear()在执行之间清除参数 ( ) 可能是个好主意。

于 2013-05-03T21:20:51.207 回答