Kleosims Ответов: 3

Отображение базы данных в текстовом поле

Привет
У меня есть проблема, когда я пытаюсь изменить поиск
-У меня есть один combobox, элементы которого меняют текст в textbox2
-TextBox2.text - это названия таблиц
-когда я использую фиксированное имя для таблицы, она работает нормально

Что я уже пробовал:

SqlDataAdapter SDA = new SqlDataAdapter("Select Name,Phone from '"+textBox2.Text+"' where Name='" + textBox1.Text + "' ", con);
            DataTable dt = new DataTable();
            SDA.Fill(dt);
            if (dt.Rows.Count == 1)
            {
                textBox3.Text = (dt.Rows[0][0].ToString());
            }

когда я использую фиксированное имя для таблицы, она работает нормально
например
SqlDataAdapter SDA = new SqlDataAdapter("Select Name,Phone from Table where Name='" + textBox1.Text + "' ", con);
            DataTable dt = new DataTable();
            SDA.Fill(dt);
            if (dt.Rows.Count == 1)
            {
                textBox3.Text = (dt.Rows[0][0].ToString());
            }

3 Ответов

Рейтинг:
2

OriginalGriff

Как говорит Джон, вам не нужны кавычки вокруг названия таблицы:

Select Name,Phone from '"+textBox2.Text+"' where ...
Должно быть:
SELECT Name, Phone FROM " + textBox2.Text + " WHERE ...

Но... Не делай этого, и особенно, не делай этого:
where Name='" + textBox1.Text + "' "

Никогда не объединяйте строки для построения команды SQL. Это оставляет вас широко открытыми для случайной или преднамеренной атаки SQL-инъекции, которая может уничтожить всю вашу базу данных. Вместо этого используйте параметризованные запросы.

Когда вы объединяете строки, вы вызываете проблемы, потому что SQL получает такие команды, как:
SELECT * FROM MyTable WHERE StreetAddress = 'Baker's Wood'
Цитата, добавленная пользователем, завершает строку в том, что касается SQL, и вы получаете проблемы. Но могло быть и хуже. Если я приду и наберу вместо этого: "x';DROP TABLE MyTable;--", то SQL получит совсем другую команду:
SELECT * FROM MyTable WHERE StreetAddress = 'x';DROP TABLE MyTable;--'
Которые SQL видит как три отдельные команды:
SELECT * FROM MyTable WHERE StreetAddress = 'x';
Совершенно правильный выбор
DROP TABLE MyTable;
Вполне допустимая команда "удалить таблицу" 
--'
А все остальное-это комментарии.
Так оно и происходит: выбирает любые совпадающие строки, удаляет таблицу из базы данных и игнорирует все остальное.

Поэтому всегда используйте параметризованные запросы! Или будьте готовы часто восстанавливать свою БД из резервной копии. Вы ведь регулярно делаете резервные копии, не так ли?

Я вижу, что вы делаете с именем таблицы - это глупо и опасно, но я вижу, куда вы идете. Вместо того чтобы позволить пользователю ввести имя, дайте ему список, чтобы вы могли минимизировать свое воздействие на SQL-инъекцию. Но вы не можете просто дать ему полный доступ к вашей базе данных - это приведет к краже, повреждению или уничтожению ...

Рейтинг:
1

#realJSOP

Удалите одинарные кавычки вокруг имени таблицы.

Рейтинг:
0

Kleosims

Я поместил дополнительный "близко к +textbox2.text"