VB.Net с вопросом mySql?

Question

Я Поиск и регистрация Блок для дубликата ID из базы данных MySQL с помощью VB.Net 2010. у меня: у Вас есть ошибка в вашем синтаксисе SQL ....

Пожалуйста, вы можете помочь мне в этом? Какая ошибка я сделал? Каким будет правильный путь?

Imports System.IO 
Imports MySql.Data.MySqlClient 
Imports System.Data.SqlClient 

    Public Class Add_Clients 
     Private Sub CheckClient() 
      Dim myquery As String = "" 
      Dim mycmd As MySqlCommand 

      myquery = "select * from clients where client_id=" & clid.Text 
      mycmd = New MySqlCommand(myquery, con) 
      Dim idno As Integer = mycmd.ExecuteNonQuery() 

      If idno < 0 Then 
     MsgBox("The Client is already Exist!", MsgBoxStyle.Exclamation, "Car Rental System") 
       Return 
      End If 

     End Sub 

Answer 1

Ваш запрос должен быть таким ...

myquery = "SELECT * FROM clients WHERE client_id='" & clid.Text.Replace("'","''").Trim() & "'" 

Дополнительный .Replace("'","''").Trim() должен защитить вас от SQL инъекций. Это должно работать на данный момент ... Но позже вы используете параметризованные запросы, чтобы избежать SQL-хаков :) Итак, на данный момент, сначала выполняйте инструкции SQL.

Answer 2

Вы должны использовать параметризованный запрос. Это упрощает код, защищая от атак инъекций.

myquery = "select * from clients where client_id=@clid" 
**mycmd = New MySqlCommand(myquery, con)** 
mycmd.Parameters.AddWithValue("@clid", clid.Text);