SQL-запросы - C# (си шарп)

Jrcfyf · 24.01.2012, 16:18

Как мне создать динамический запрос? Есть комбобокс, откуда берётся используемое для фильтрации поле и текстбокс, в котором его значение. как это в C# вставить в SQL-запрос?

Jrcfyf · 24.01.2012, 17:01

Код:

string sql = string.Format("SELECT PRIMER.* FROM PRIMER WHERE ('{0}'>'{1}')", comboBox1.Text, textBox1.Text);

если между 0 и 1 ставить '=' то таблица будет пустой, если '<' или '>', то выводится вся таблица. что можно сделать с этим?

Cronos20 · 24.01.2012, 17:49

Отличная находка для юного хакера. А если вам в комбобоксе понапишут чего лишнего?
Проверяем все и вся ... хотя у вас какой-то неправильный подход, ну допустим

Код:

var string = "SELECT PRIMER.* FROM PRIMER ";
var column = string.Empty;
if (comboBox1.Checked)
{switch (comboBox1.Text)
{case "column1": column = "column1";

Валидируем textfield и делаем ему Int32.TryParse - в mssql сравнивать int нужно с int
Если с column и значением textfield все OK, собираем запрос

pu4koff · 24.01.2012, 21:40

Читайте про параметризованные запросы. Остальное всё от лукавого.

24.01.2012, 16:18	#1
Jrcfyf Пользователь Регистрация: 18.01.2012 Сообщений: 26	SQL-запросы Как мне создать динамический запрос? Есть комбобокс, откуда берётся используемое для фильтрации поле и текстбокс, в котором его значение. как это в C# вставить в SQL-запрос?

24.01.2012, 17:01	#2
Jrcfyf Пользователь Регистрация: 18.01.2012 Сообщений: 26	Код: `string sql = string.Format("SELECT PRIMER.* FROM PRIMER WHERE ('{0}'>'{1}')", comboBox1.Text, textBox1.Text);` если между 0 и 1 ставить '=' то таблица будет пустой, если '<' или '>', то выводится вся таблица. что можно сделать с этим?

24.01.2012, 17:49	#3
Cronos20 Форумчанин Регистрация: 08.07.2010 Сообщений: 679	Отличная находка для юного хакера. А если вам в комбобоксе понапишут чего лишнего? Проверяем все и вся ... хотя у вас какой-то неправильный подход, ну допустим Код: `var string = "SELECT PRIMER.* FROM PRIMER "; var column = string.Empty; if (comboBox1.Checked) {switch (comboBox1.Text) {case "column1": column = "column1";` Валидируем textfield и делаем ему Int32.TryParse - в mssql сравнивать int нужно с int Если с column и значением textfield все OK, собираем запрос

24.01.2012, 21:40	#4
pu4koff Старожил Регистрация: 22.05.2007 Сообщений: 9,065	Читайте про параметризованные запросы. Остальное всё от лукавого. http://coub.com/view/2hhtg

Похожие темы
Тема	Автор	Раздел	Ответов	Последнее сообщение
SQL запросы	Frosts	Помощь студентам	2	18.05.2011 11:24
БД и SQL запросы	kuzmich	БД в Delphi	1	15.11.2010 12:01
SQL запросы	max1k	Помощь студентам	1	12.06.2010 19:31
SQL-запросы	SEMEon	SQL, базы данных	21	05.01.2010 09:25