atheos20 Ответов: 1

Как я могу "загрузить файл" в виде двоичного типа в существующую таблицу SQL?

Я использую Visual basic 2017 и совсем новичок в VB. В настоящее время я создаю веб-приложение с помощью vb.net -да . Моя проблема в том, что я пытаюсь добавить опцию загрузки файлов в
мое нынешнее заявление. Я хочу иметь возможность сохранять любой тип файла с моего компьютера в виде двоичного файла в sql server. Я не знаком с правильной обработкой двоичного кода (или байта () ). Я пытаюсь использовать элемент управления Fileupload.


Я пробовал гуглить. Кажется, ничего не работает. Любая помощь будет оценена по достоинству.

Что я уже пробовал:

примеры кода для более старых версий vb

1 Ответов

Рейтинг:
2

OriginalGriff

Просто передайте данные в виде массива байтов с помощью параметризованного запроса:

<pre>                Using con As New SqlConnection(strConnect)
                	con.Open()
                	Using com As New SqlCommand("INSERT INTO myTable (myColumn1, myColumn2) VALUES (@C1, @C2)", con)
                		com.Parameters.AddWithValue("@C1", myValueForColumn1)
                		com.Parameters.AddWithValue("@C2", myArrayOfData)
                		com.ExecuteNonQuery()
                	End Using
                End Using

atheos20

Проблема заключается в том, что таблица, в которую я пытаюсь вставить уже существующие столбцы. В настоящее время я использую другой файл класса для sql-кодов и передаю значения с текущей страницы с экземпляром. Нужно ли мне начинать с нуля, чтобы использовать параметры, или есть обходной путь? Заранее спасибо.

OriginalGriff

Таблица и параметризованный код не имеют значения: если у вас есть столбец VARBINARY или BINARY в таблице для хранения данных, использование параметров не требует никаких изменений в конце SQL.

И если вы уже не используете параметризованные запросы в своем приложении, вы потеряете свои данные. Никогда не объединяйте строки для построения команды SQL. Это оставляет вас широко открытыми для случайной или преднамеренной атаки SQL-инъекции, которая может уничтожить всю вашу базу данных. Вместо этого используйте параметризованные запросы.

Когда вы объединяете строки, вы вызываете проблемы, потому что SQL получает такие команды, как:

SELECT * FROM MyTable WHERE StreetAddress = 'Baker's Wood'
Цитата, добавленная пользователем, завершает строку в том, что касается SQL, и вы получаете проблемы. Но могло быть и хуже. Если я приду и наберу вместо этого: "x';DROP TABLE MyTable;--", то SQL получит совсем другую команду:
SELECT * FROM MyTable WHERE StreetAddress = 'x';DROP TABLE MyTable;--'
Которые SQL видит как три отдельные команды:
SELECT * FROM MyTable WHERE StreetAddress = 'x';
Совершенно правильный выбор
DROP TABLE MyTable;
Вполне допустимая команда "удалить таблицу" 
--'
А все остальное-это комментарии.
Так оно и происходит: выбирает любые совпадающие строки, удаляет таблицу из базы данных и игнорирует все остальное.

Поэтому всегда используйте параметризованные запросы! Или будьте готовы часто восстанавливать свою БД из резервной копии. Вы ведь регулярно делаете резервные копии, не так ли?