Member 14743579 Ответов: 1

Как я могу разделить эту одностраничную команду в 3-слойной архитектуре на ASP.NET с#..

sqlconnection con = новый sqlconnection();
sqlcommand cmd = новая команда sqlcommand();

нажмите на кнопку();
{
кон.открыть();
cmd= new sqlcommand("select * from product where prod_id='"+txtboxprod_id.text+"'",con);
класс sqldatareader СДР= ЦМД.метода executereader();
если(СДР.читать())
{
txtboxpartyid.текст=(СДР["party_id"].метод toString());
}
кон.рядом();
}

//О запросе извлечение данных в текстовое поле party_id когда я ввел идентификатор продукта в текстовое поле prod_id пожалуйста, дайте мне решение с помощью 3-слойной архитектуры в asp.net с#

Что я уже пробовал:

я перепробовал много вещей, но у меня есть проблема с datareader, и я понятия не имею, как я могу вызвать данные слоя BA на главную страницу.
я использовал другую архитектуру файлов 3 слоя.
Да слой
Быть слой
Слой BA
Главная страница

1 Ответов

Рейтинг:
1

OriginalGriff

Забудьте о попытке разделить его на данный момент - это все равно не тема для такого маленького текстового поля, как это, - и сначала исправьте все свое приложение: у него есть серьезная проблема.

Никогда не объединяйте строки для построения команды SQL. Это оставляет вас широко открытыми для случайной или преднамеренной атаки SQL-инъекции, которая может уничтожить всю вашу базу данных. Вместо этого всегда используйте параметризованные запросы.

Когда вы объединяете строки, вы вызываете проблемы, потому что SQL получает такие команды, как:

SELECT * FROM MyTable WHERE StreetAddress = 'Baker's Wood'
Цитата, добавленная пользователем, завершает строку в том, что касается SQL, и вы получаете проблемы. Но могло быть и хуже. Если я приду и наберу вместо этого: "x';DROP TABLE MyTable;--", то SQL получит совсем другую команду:
SELECT * FROM MyTable WHERE StreetAddress = 'x';DROP TABLE MyTable;--'
Которые SQL видит как три отдельные команды:
SELECT * FROM MyTable WHERE StreetAddress = 'x';
Совершенно правильный выбор
DROP TABLE MyTable;
Вполне допустимая команда "удалить таблицу" 
--'
А все остальное-это комментарии.
Так оно и происходит: выбирает любые совпадающие строки, удаляет таблицу из базы данных и игнорирует все остальное.

Поэтому всегда используйте параметризованные запросы! Или будьте готовы часто восстанавливать свою БД из резервной копии. Вы ведь регулярно делаете резервные копии, не так ли?