Wartość z boxa do polecenia Select (SQL)

Odpowiedz Nowy wątek
2009-05-05 16:40
0

Witam. Cały dzień nad tym siedzę i nic nie wymyśliłem. Mianowicie robię stronke www, która pobiera dane z tabel na serwerze. Ograniczeniem dla pobieranych danych ma być wartość ID, którą wybiera użytkownik w boxie (DropDownList1). Tutaj moje pytanie: jak przekazać tą wartość do polecenia SELECT?

tutaj kawałek kodu:

string ogranicznik;
ogranicznik = Convert.ToString(DropDownList1);

(...)

myCommand.CommandText = "select imie, nazwisko, adres from PRACOWNICY where ID = ....(?) "

Pozostało 580 znaków

2009-05-05 17:30
0

Obstawiam, że:

myCommand.CommandText = "select imie, nazwisko, adres from PRACOWNICY where ID = " + DropDownList1.SelectedItem.Text;

Więcej info:
http://msdn.microsoft.com/en-us/library/system.web.ui.webcontrols.dropdownlist_properties.aspx


"HUMAN BEINGS MAKE LIFE SO INTERESTING. DO YOU KNOW, THAT IN A UNIVERSE SO FULL OF WONDERS, THEY HAVE MANAGED TO INVENT BOREDOM."

Pozostało 580 znaków

2009-05-05 22:09
0
somekind napisał(a)

Obstawiam, że:

myCommand.CommandText = "select imie, nazwisko, adres from PRACOWNICY where ID = " + DropDownList1.SelectedItem.Text;

Bum i jesteśmy podatni na SQL Injection...używaj parametrów.


Pozostało 580 znaków

2009-05-05 22:22
0
PawelLukasik napisał(a)
somekind napisał(a)

Obstawiam, że:

myCommand.CommandText = "select imie, nazwisko, adres from PRACOWNICY where ID = " + DropDownList1.SelectedItem.Text;

Bum i jesteśmy podatni na SQL Injection...używaj parametrów.

E tam bez przesady, jak uzytkownik nie moze wpisywac z palca swoich wlasnych danych to jakie tu sql injection ? Ale użyc parametrów nie zaszkodzi...

Pozostało 580 znaków

2009-05-05 22:30
0

Jak to nie może?
Przecież to DropDownList. Kto powiedział, że serwer trzeba odpytywać za pomocą przeglądarki i ładnie wyrenderowanego DDL.
Ja sobie napiszę aplikację, która do serwera w tym DropDownList zapisze coś ciekawego i wyśle zapytanie do serwera. Może tak łatwo jak w przypadku zwykłego TextBox'a nie jest ale zrobić się da. Pytanie jak bardzo komuś będzie zależało aby aplikację 'wysadzić'.


Pozostało 580 znaków

2009-05-05 23:26
0
PawelLukasik napisał(a)

Bum i jesteśmy podatni na SQL Injection...używaj parametrów.

Ja używam.
Ale nie mam czasu ani siły tłumaczyć autorowi pytania o co z nimi biega, już wystarczy, że pokazałem, jak pobrać tekst wybranego elementu.
Ty się wykaż ;)


"HUMAN BEINGS MAKE LIFE SO INTERESTING. DO YOU KNOW, THAT IN A UNIVERSE SO FULL OF WONDERS, THEY HAVE MANAGED TO INVENT BOREDOM."

Pozostało 580 znaków

Odpowiedz
Liczba odpowiedzi na stronę

1 użytkowników online, w tym zalogowanych: 0, gości: 1, botów: 0