那些遇到过的问题

ASP.NET C#参数化查询返回任何内容

j0h*_*tew 1 sql asp.net parameterized

好的,我是参数化查询的菜鸟.我理解为什么你应该使用它们,但除了我找不到任何显示正确方法的资源或至少一个显示实际工作方式的资源.

所以我的问题是关于我的代码是否正确.它编译并运行得很好,但它在gridview中完全没有返回.

 protected void SearchButton_Click(object sender, EventArgs e)
{
    string searchBoxValue = SearchBox.Text;
    string columnNameValue = ColumnName.SelectedValue;
    columnNameValue.ToLower();

    SqlCommand searchCommand = new SqlCommand();
    searchCommand.Connection = connection;
    searchCommand.CommandText = "select firstname AS FirstName,lastname AS LastName, zipcode as ZipCode, phone AS Phone, email AS Email, cancersurvivor AS CancerSurvivor, ethnicity AS Ethnicity from registrants where @columnname = @searchterm";

    SqlParameter columnParam = new SqlParameter();
    columnParam.ParameterName = "@columnname";
    columnParam.Value = columnNameValue;

    SqlParameter searchBoxParam = new SqlParameter();
    searchBoxParam.ParameterName = "@searchterm";
    searchBoxParam.Value = searchBoxValue;

    searchCommand.Parameters.Add(columnParam);
    searchCommand.Parameters.Add(searchBoxParam);

    UpdateTable(searchCommand);

}
Run Code Online (Sandbox Code Playgroud)

UpdateTable函数接受SqlCommand对象,然后使用DataAdapter对象执行命令并填充DataTable对象,然后将gridview数据源设置为datatable对象并绑定它.

就像我之前说的那样,我真的在寻找合适的方法吗?我需要一个存储过程才能执行此操作吗?我对这一切感到困惑,为什么它不起作用.

Mar*_*ith 6

你不能参数化@columnname.这需要是您查询中的文字.

你的陈述

select 
 /* .... */
from registrants where @columnname = @searchterm
Run Code Online (Sandbox Code Playgroud)

registrants如果参数的值恰好相同或没有行,则返回所有行.

它不会查看并查看您是否有该名称的列,并查看其中是否@searchterm存在该列.

要以安全的方式执行此操作,您需要检查是否columnNameValue匹配有效列名称的白名单之一(因为您必须知道该表中可能的列名称)并将其连接到您的查询中.不要连接未经验证的用户输入.然后你打开自己的SQL注入.

所以你可能会实现类似的东西

using System.Linq;

protected void SearchButton_Click(object sender, EventArgs e)
{
    string columnNameValue = ColumnName.SelectedValue.ToLower();

    var validColumnNames = new string[] { "firstname", "lastname", "zipcode" };

    if (!validColumnNames.Contains(columnNameValue))
    {
        throw new Exception("Unexpected column name " + columnNameValue);
    }

    /* ... code omitted */

    searchCommand.CommandText = "select firstname AS FirstName,lastname AS LastName, zipcode as ZipCode, phone AS Phone, email AS Email, cancersurvivor AS CancerSurvivor, ethnicity AS Ethnicity from registrants where " + columnNameValue + " = @searchterm";

    /* ... code omitted */
}
Run Code Online (Sandbox Code Playgroud)

归档时间:

查看次数:

541 次

最近记录:

12 年,9 月 前
相关归档
SQL Server中for循环的语法 220
如何在调试期间在ASP.NET(C#)中使用Console.WriteLine? 79
删除PostgreSQL中索引的唯一性 54
在SQL查询中一起使用union和count(*) 40
无法找到包 dotnet-sdk-8.0 21
从一个表中选择,从id链接的另一个表中计数 18
选择一列中相同但在另一列中不同的行 18
Asp.Net MVC是适合企业项目的解决方案吗? 13
是否可以使用MVC项目制作单独的dll? 13
找出X509Certificate2是否被撤销? 11
难疑归档
如何有效地配对袜子? 3850
停止EditText在Activity启动时获得焦点 2770
使用jQuery禁用/启用输入? 2216
我应该使用Vagrant还是Docker来创建一个孤立的环境? 2049
当用户将鼠标悬停在列表项上时,将光标置为手 1871
在单个SQL查询中插入多行? 1604
在JavaScript对象数组中按id查找对象 1435
如何在JavaScript中将十进制转换为十六进制? 1387
如何让ASP.NET Web API使用Chrome返回JSON而不是XML? 1220
在Ruby on Rails中对nil v.空v.空白的简要解释 1098