akosisugar Ответов: 1

Поиск C# с помощью combobox и textbox

возникли проблемы с моим запросом.
я хочу найти фильтр записей по имени столбца из таблицы и значению..

например..

получить записи, где имя столбца равна ComboBox и значение текстового поля

все еще новичок.. ТИА

Что я уже пробовал:

using System;
using System.Collections.Generic;
using System.ComponentModel;
using System.Data;
using System.Drawing;
using System.Linq;
using System.Text;
using System.Windows.Forms;

using System.Data.SqlClient;
using System.Diagnostics;
using System.IO;

namespace testcsharp
{
    public partial class frmt3 : Form
    {
        public frmt3()
        {
            InitializeComponent();
        }

        connection cs = new connection();

        void columnitems(ComboBox cbo)
        {
            cbo.Items.Add("custid");
            cbo.Items.Add("name");
            cbo.Items.Add("gender");
            cbo.Items.Add("addr");
        }
        private void button1_Click(object sender, EventArgs e)
        {
            try
            {
                SqlConnection con = new SqlConnection(cs.getConnectionString());
                con.Open();
                string query = "select * from tblcustomer where column=@1 and value=@2";
                SqlCommand cmd = new SqlCommand(query, con);
                cmd.Parameters.AddWithValue("@1", txttblcolumn.Text);
                cmd.Parameters.AddWithValue("@2", txtvalue.Text);

                SqlDataReader dr = cmd.ExecuteReader();
                DataTable dt = new DataTable();

                if (dr.HasRows)
                {
                    dt = new DataTable();
                    dt.Load(dr);
                    dataGridView1.DataSource = dt;
                }
            }
            catch (Exception ex)
            {
                MessageBox.Show(ex.ToString());
            }
        }

        private void frmt3_Load(object sender, EventArgs e)
        {
            columnitems(txttblcolumn);
        }
    }
}

1 Ответов

Рейтинг:
12

OriginalGriff

На первый взгляд, вам нужно что-то вроде этого:

string query = "select * from tblcustomer where " + myValueFromTheComboBox + "= @2";
SqlCommand cmd = new SqlCommand(query, con);
cmd.Parameters.AddWithValue("@2", txtvalue.Text);

Вы не можете передавать имена столбцов в SQL через параметр, они разрешаются до выполнения подстановки параметров.

Но не делайте этого из текстового поля, как показывает ваш код, - это очень опасно, так как оставляет вас открытым для SQL-инъекций. Combobox относительно безопасен, если вы точно контролируете содержимое (но я, вероятно, все равно захочу проверить содержимое, прежде чем объединять его в командную строку).

akosisugar

сэр ... извините, что он работает... но почему я не могу параметризовать свое значение в combobox.. это почти то же самое, что и в textbox.. can u please explain..

OriginalGriff

Потому что SQL анализирует запрос в несколько этапов: и один из ранних этапов определяет таблицы, функции, процедуры и столбцы, с которыми будет иметь дело запрос. Подстановка параметров выполняется как одна из последних операций перед фактическим выполнением запроса - и к этому времени столбцы уже фиксируются в камне.
Вы вообще не можете параметризовать имя таблицы, имя столбца или функцию в SQL (за исключением построения строки как части исходного запроса и использования EXEC для его выполнения - что имеет те же проблемы с внедрением SQL, что и конкатенация исходных данных, так что это не помогает).

akosisugar

uhhhhhh!. окей.- ТНК у снова сэр..

OriginalGriff

Всегда пожалуйста!