مرجع تخصصی برنامه نویسان

انجمن تخصصی برنامه نویسان فارسی زبان

ورود / ثبت نام
انجمن پرسش و پاسخ
تاپیک مورد نظر
کاربر سایت

arioban

عضویت از 1395/04/01

ساختار دستورات SQL

  • یکشنبه 19 دی 1395
  • 17:01
تشکر میکنم

این دستور SQL درست هست یا خیر 

                SqlDataAdapter cmd = new SqlDataAdapter("select firstname,lastname,username,price,operator,type,score,number,idchat,State,ResNum,RefNum,saleOrderId,OffPercent,InvoiceId,RegisterDate from [report] where firstname ='" + TextBox3.Text + "' or lastname='" + TextBox4.Text + "' or username='" + TextBox5.Text + "' or price = '" + TextBox6.Text + "' or operator ='" + DropDownList1.SelectedItem.Text + "' or type = (type='" + DropDownList2.SelectedItem.Text + "'or type='" + DropDownList5.SelectedItem.Text + "' or type='" + DropDownList6.SelectedItem.Text + "')  or score = (score='" + DropDownList4.SelectedItem.Text + "' or score='" + DropDownList7.SelectedItem.Text + "') or number = '" + TextBox7.Text + "' or idchat = '" + TextBox11.Text + "' or State ='" + TextBox12.Text + "' or ResNum ='" + TextBox13.Text + "' or RefNum='" + TextBox14.Text + "' or saleOrderId = '" + TextBox8.Text + "' or OffPercent = '" + TextBox15.Text + "' or InvoiceId = '" + TextBox16.Text + "'", con);

پاسخ های این پرسش

تعداد پاسخ ها : 4 پاسخ
کاربر سایت

ایمان مدائنی

عضویت از 1392/01/20

  • دوشنبه 20 دی 1395
  • 09:56

به نظر درست میاد ولی از نظر امنیت 0 هست

نباید پارمتر ها را در خود کوئری بدید و باید به صورت @ استفاده کنید

کاربر سایت

arioban

عضویت از 1395/04/01

  • دوشنبه 20 دی 1395
  • 10:24

در باره این نوع کوئری نوشتن که شما میگید اطلاعاتی  ندارم .

اگر منبعی وجود داره لطفا معرفی کنید

ممنون

کاربر سایت

ایمان مدائنی

عضویت از 1392/01/20

  • دوشنبه 20 دی 1395
  • 10:32 
   // Update the demographics for a store, which is stored 
    // in an xml column. 
    string commandText = "UPDATE Sales.Store SET Demographics = @demographics "
        + "WHERE CustomerID = @ID;";

    using (SqlConnection connection = new SqlConnection(connectionString))
    {
        SqlCommand command = new SqlCommand(commandText, connection);
        command.Parameters.Add("@ID", SqlDbType.Int);
        command.Parameters["@ID"].Value = customerID;

        // Use AddWithValue to assign Demographics.
        // SQL Server will implicitly convert strings into XML.
        command.Parameters.AddWithValue("@demographics", demoXml);

        try
        {
            connection.Open();
            Int32 rowsAffected = command.ExecuteNonQuery();
            Console.WriteLine("RowsAffected: {0}", rowsAffected);
        }
        catch (Exception ex)
        {
            Console.WriteLine(ex.Message);
        }
    }

کاربر سایت

ایمان مدائنی

عضویت از 1392/01/20

  • دوشنبه 20 دی 1395
  • 10:35

این لینک رو هم ببینید

کاربرانی که از این پست تشکر کرده اند

هیچ کاربری تا کنون از این پست تشکر نکرده است

اگر نیاز به یک مشاور در زمینه طراحی سایت ، برنامه نویسی و بازاریابی الکترونیکی دارید

با ما تماس بگیرید تا در این مسیر همراهتان باشیم :)

درخواست پروژه