SDK Channel Ответов: 1

Uniquenamamodis общественные функции() как логическое имеет параметров и тип возвращаемого значения не может быть проиндексирован

у меня проблема с функцией вставки и обновления кнопок,ошибка в строке
Цитата:
Если uniqueNamaModis(txtNamaModis.Text) = True, то
я использую vb.net веб-формы. пожалуйста, помогите мне

Что я уже пробовал:

myfunction ниже:
Public Function uniqueNamaModis() As Boolean
        Dim nmodis As String
        Dim query As String = "select count(namamodis) as namamodis from master_planogram where namamodis='" + txtNamaModis.Text & "'"
        Dim sqlCon As New MySqlConnection(ObjFungsi.ConDataProduction)
        sqlCon.Open()
        Dim cmd As New MySqlCommand(query, sqlCon)
        Dim dr As MySqlDataReader
        dr = cmd.ExecuteReader()

        While dr.Read()

            Try
                nmodis = dr("namamodis").ToString()
                Return (nmodis <> "0")

                If nmodis <> "0" Then
                    Return False
                End If

            Catch e As Exception
                Dim message As String = "Error"
                message += e.Message
            Finally
                dr.Close()
                sqlCon.Close()
            End Try
        End While

        Return True
    End Function


моя кнопка внизу:
Protected Sub btnEditSimpanSelected_Click(sender As Object, e As EventArgs)
        Dim sqlCon As New MySqlConnection(ObjFungsi.ConDataProduction)
        sqlCon.Open()
        Dim cmd As MySqlCommand = sqlCon.CreateCommand()
        cmd.CommandType = CommandType.Text

        If uniqueNamaModis(txtNamaModis.Text) = True Then
            cmd.CommandText = "UPDATE master_planogram Set namamodis='" & txtNamaModis.Text & "'"
            cmd.CommandText += " , namaplu='" + txtPlu2.Text & "', deskripsiplu='" + txtDesc2.Text & "'"
            cmd.CommandText += " , kodetoko='" + txtSrcByKdtk.Text & "', namatoko='" + txtSrcByNmtk.Text & "', cabang='" + txtSrcByKdcab.Text & "'"
            cmd.CommandText += " where namamodis='" + txtNamaModis.Text & "'"
        Else
            cmd.CommandText = "INSERT INTO master_planogram values('" & txtNamaModis.Text & "', '" + txtPlu2.Text & "', '" + txtDesc2.Text & "'"
            cmd.CommandText += " , '" + txtSrcByKdtk.Text & "', '" + txtSrcByNmtk.Text & "', '" + txtSrcByKdcab.Text & "')"
        End If
        cmd.ExecuteNonQuery()
        sqlCon.Close()
    End Sub

Richard Deeming

Ваш код уязвим для SQL-инъекция[^]. НИКОГДА используйте конкатенацию строк для построения SQL-запроса. ВСЕГДА используйте параметризованный запрос.

Все, что вы хотели знать о SQL-инъекции (но боялись спросить) | Трой Хант[^]
Как я могу объяснить SQL-инъекцию без технического жаргона? | Обмен Стеками Информационной Безопасности[^]
Шпаргалка по параметризации запросов | OWASP[^]

1 Ответов

Рейтинг:
12

Sandeep Mewara

Ваше определение метода таково:

Public Function uniqueNamaModis() As Boolean

=> Он не имеет определенных параметров, которые должны быть приняты в качестве входных данных. Это uniqueNamaModis()

Но, используя этот метод, вы передаете параметр, следовательно, ошибку. 
If uniqueNamaModis(txtNamaModis.Text) = True Then

Удалите строковый параметр из вызывающего объекта или добавьте его как ожидаемый параметр в определение метода. 
If uniqueNamaModis() = True Then

ОПЕРАЦИОННАЯ
Public Function uniqueNamaModis(someText as String) As Boolean

SDK Channel

его работа! большое спасибо, сэр.