Почему этот параметризованный sql-запрос не возвращает результаты?

Question

Я беру над проектом VB и с моими ограниченными навыками VB я не могу получить следующее параметризованный запрос для возвращения результатов:

Dim strSQLUser As String = "Select Name, CompanyID from Users where UserName = @UserName" 
dbCommand = New SqlCommand(strSQLUser, dbConn) 
dbCommand.Parameters.AddWithValue("@UserName", User) 
dr = dbCommand.ExecuteReader 

Однако это исходный код, который делает работу:

Dim strSQLUser As String = "Select Name, CompanyID from Users where UserName ='" & User & "'" 
dbCommand = New SqlCommand(strSQLUser, dbConn) 
dr = dbCommand.ExecuteReader 

Как вы можете видеть, исходный код был уязвим для SQL-инъекции и должен быть исправлен.

Extra - Вот линия, которая делает чтение:

While dr.Read 
    DbUser = dr.GetValue(0).ToString 
    DbCompany = dr.GetValue(1).ToString 
End While 

Answer 1

При использовании параметров вы не указать кавычки параметры '. Все параметры автоматически преобразуются в соответствующие типы столбцов, такие как дата, nvarchar и т. Д. Таким образом, больше нет кавычек.

Dim strSQLUser As String = "Select Name, CompanyID from Users where UserName =@UserName" 

Answer 2

Попробуйте это:

Dim strSQLUser As String = "Select Name, CompanyID from Users where UserName =@UserName" 
dbCommand = New SqlCommand(strSQLUser, dbConn) 
dbCommand.Parameters.AddWithValue("@UserName", User.Text) 
dr = dbCommand.ExecuteReader 

Кроме того, лучший подход обеспечивает значение как:

dbCommand.Parameters.Add("@UserName", SqlDbType.VarChar).Value = User.Text 

Предполагая, что пользователь, чтобы быть VARCHAR т.е. тип текста..