Witam. Cały dzień nad tym siedzę i nic nie wymyśliłem. Mianowicie robię stronke www, która pobiera dane z tabel na serwerze. Ograniczeniem dla pobieranych danych ma być wartość ID, którą wybiera użytkownik w boxie (DropDownList1). Tutaj moje pytanie: jak przekazać tą wartość do polecenia SELECT?
tutaj kawałek kodu:
string ogranicznik;
ogranicznik = Convert.ToString(DropDownList1);
(...)
myCommand.CommandText = "select imie, nazwisko, adres from PRACOWNICY where ID = ....(?) "
Obstawiam, że:
myCommand.CommandText = "select imie, nazwisko, adres from PRACOWNICY where ID = " + DropDownList1.SelectedItem.Text;
Więcej info:
http://msdn.microsoft.com/en-us/library/system.web.ui.webcontrols.dropdownlist_properties.aspx
somekind napisał(a)
Obstawiam, że:
myCommand.CommandText = "select imie, nazwisko, adres from PRACOWNICY where ID = " + DropDownList1.SelectedItem.Text;
Bum i jesteśmy podatni na SQL Injection...używaj parametrów.
PawelLukasik napisał(a)
somekind napisał(a)
Obstawiam, że:
myCommand.CommandText = "select imie, nazwisko, adres from PRACOWNICY where ID = " + DropDownList1.SelectedItem.Text;
Bum i jesteśmy podatni na SQL Injection...używaj parametrów.
E tam bez przesady, jak uzytkownik nie moze wpisywac z palca swoich wlasnych danych to jakie tu sql injection ? Ale użyc parametrów nie zaszkodzi...
Jak to nie może?
Przecież to DropDownList. Kto powiedział, że serwer trzeba odpytywać za pomocą przeglądarki i ładnie wyrenderowanego DDL.
Ja sobie napiszę aplikację, która do serwera w tym DropDownList zapisze coś ciekawego i wyśle zapytanie do serwera. Może tak łatwo jak w przypadku zwykłego TextBox'a nie jest ale zrobić się da. Pytanie jak bardzo komuś będzie zależało aby aplikację 'wysadzić'.
PawelLukasik napisał(a)
Bum i jesteśmy podatni na SQL Injection...używaj parametrów.
Ja używam.
Ale nie mam czasu ani siły tłumaczyć autorowi pytania o co z nimi biega, już wystarczy, że pokazałem, jak pobrać tekst wybranego elementu.
Ty się wykaż ;)