Member 14942300 Ответов: 2

Как я могу искать два значения данных вместе.это мой код. Я не получаю никакого результата

SqlConnection CON = new SqlConnection(mainconn);
CON.Open();

SqlCommand CMD = CON.CreateCommand();
CMD.CommandType = CommandType.Text;
CMD.CommandText = "SELECT SUPPLIERNAME,SUPPLIERCODE,DATE FROM SUPPLIERTOTALAMOUNT WHERE SUPPLIERCODE='" + SPCT.Text + "' AND '" + SPC.Text + "'" ;
CMD.ExecuteNonQuery();
DataTable DT = new DataTable();
SqlDataAdapter DA = new SqlDataAdapter(CMD);
DA.Fill(DT);
dataGridView2.DataSource = DT;

CON.Close();


Что я уже пробовал:

как я могу получить два значения данных вместе

2 Ответов

Рейтинг:
2

OriginalGriff

Во-первых, не делай этого так! Никогда не объединяйте строки для построения команды SQL. Это оставляет вас широко открытыми для случайной или преднамеренной атаки SQL-инъекции, которая может уничтожить всю вашу базу данных. Вместо этого всегда используйте параметризованные запросы.

Когда вы объединяете строки, вы вызываете проблемы, потому что SQL получает такие команды, как:

SELECT * FROM MyTable WHERE StreetAddress = 'Baker's Wood'
Цитата, добавленная пользователем, завершает строку в том, что касается SQL, и вы получаете проблемы. Но могло быть и хуже. Если я приду и наберу вместо этого: "x';DROP TABLE MyTable;--", то SQL получит совсем другую команду:
SELECT * FROM MyTable WHERE StreetAddress = 'x';DROP TABLE MyTable;--'
Которые SQL видит как три отдельные команды:
SELECT * FROM MyTable WHERE StreetAddress = 'x';
Совершенно правильный выбор
DROP TABLE MyTable;
Вполне допустимая команда "удалить таблицу" 
--'
А все остальное-это комментарии.
Так оно и происходит: выбирает любые совпадающие строки, удаляет таблицу из базы данных и игнорирует все остальное.

Поэтому всегда используйте параметризованные запросы! Или будьте готовы часто восстанавливать свою БД из резервной копии. Вы ведь регулярно делаете резервные копии, не так ли?

Во - вторых, не используйте слова SQL erserved для имен столбцов- и DATE это тип данных SQL, поэтому, если вы используете его в качестве столбца, вы должны экранировать его, заключив в квадратные скобки:
SELECT Suppliername, Suppliercode, [Date] FROM ...


В-третьих, SQL-соединения, команды и т. д.-Это дефицитные ресурсы, и вы должны избавиться от них, когда закончите с ними. Один using блок-это лучший способ:
using (SqlConnection con = new SqlConnection(strConnect))
    {
    con.Open();
    using (SqlDataAdapter da = new SqlDataAdapter("SELECT MyColumn1, MyColumn2 FROM myTable WHERE mySearchColumn = @SEARCH", con))
        {
        da.SelectCommand.Parameters.AddWithValue("@SEARCH", myTextBox.Text);
        DataTable dt = new DataTable();
        da.Fill(dt);
        myDataGridView.DataSource = dt;
        }
    }

В-четвертых, вам не нужно звонить ExecuteNonQuery прежде чем использовать DataAdapter, и вызывать метод без запроса на запрос просто глупо.

Рейтинг:
11

Patrice T

правильный синтаксис для

CMD.CommandText = "SELECT SUPPLIERNAME,SUPPLIERCODE,DATE FROM SUPPLIERTOTALAMOUNT WHERE SUPPLIERCODE='" + SPCT.Text + "' AND '" + SPC.Text + "'" ;

это вероятно с точки зрения синтаксиса
CMD.CommandText = "SELECT SUPPLIERNAME,SUPPLIERCODE,DATE FROM SUPPLIERTOTALAMOUNT WHERE SUPPLIERCODE='" + SPCT.Text + "' AND SUPPLIERCODE='" + SPC.Text + "'" ;

или логически
CMD.CommandText = "SELECT SUPPLIERNAME,SUPPLIERCODE,DATE FROM SUPPLIERTOTALAMOUNT WHERE SUPPLIERCODE='" + SPCT.Text + "' OR SUPPLIERCODE='" + SPC.Text + "'" ;

вы хотите, чтобы SUPPLIERCODE был SPCT.Текст или будьте SPC.Text.

Не обязательно решение вашего вопроса, но у вас есть еще одна проблема.
Никогда не создавайте SQL-запрос путем объединения строк. Рано или поздно вы сделаете это с помощью пользовательских вводов, и это откроет дверь к уязвимости под названием "SQL-инъекция", она опасна для вашей базы данных и подвержена ошибкам.
Одна кавычка в имени - и ваша программа выйдет из строя. Если пользователь вводит имя, например "Брайан О'Коннер", может привести к сбою вашего приложения, это уязвимость SQL-инъекции, и сбой-это наименьшая из проблем, вредоносный пользовательский ввод, и он продвигается к командам SQL со всеми учетными данными.
SQL-инъекция - Википедия[^]
SQL-инъекция[^]
Атаки SQL-инъекций на примере[^]
PHP: SQL-инъекция - руководство пользователя[^]
Как я могу объяснить SQL-инъекцию без технического жаргона? - Обмен Стеками Информационной Безопасности[^]

Member 14942300

СПАСИБО