我的程序如下:
sql = "update registerUser set password='" + _password + "' where userName='" + HttpContext.Current.Session["userReg"].ToString() + "'";
try
{
myDb.exec(sql);
}
catch(Exception err)
{
message.Text = "提示:修改出错,"+err.Message;
}
finally
{
message.Text = "提示:修改成功!";
}比如我的表名registerUser是错误的,他为什么还是执行到message.Text = "提示:修改成功!";了呢?
sql = "update registerUser set password='" + _password + "' where userName='" + HttpContext.Current.Session["userReg"].ToString() + "'";
try
{
myDb.exec(sql);
}
catch(Exception err)
{
message.Text = "提示:修改出错,"+err.Message;
}
finally
{
message.Text = "提示:修改成功!";
}比如我的表名registerUser是错误的,他为什么还是执行到message.Text = "提示:修改成功!";了呢?
{
//无论如何都是会执行的
}
{
myDb.exec(sql);
message.Text = "提示:修改成功!";
}
catch(Exception err)
{
message.Text = "提示:修改出错,"+err.Message;
}
finally
{
//关闭连结
}
{
//无论如何都是会执行的
}而且那样SQL语句拼接有注入漏洞