Member 14067578 Ответов: 1

В арчр мотыгой, чтобы выбрать из одной таблицы вставить в другую tbale данных

строки strRegi = "вставить в Regi_RecordsTB(App_No,конечно) значения(" + инт.Синтаксический анализ(txtAppl_no.Текст) + ",'"+ cboxcourse.Текст +"') выбираем(естественно) от new_crs_editorTB";не выбирать из других tbale как?

Что я уже пробовал:

строки strRegi = "вставить в Regi_RecordsTB(App_No,конечно) значения(" + инт.Синтаксический анализ(txtAppl_no.Текст) + ",'"+ cboxcourse.Текст +"') выбираем(естественно) от new_crs_editorTB";не выбирать из других tbale как?

Richard Deeming

Ваш код потенциально уязвим для SQL-инъекция[^]. НИКОГДА используйте конкатенацию строк для построения SQL-запроса. ВСЕГДА используйте параметризованный запрос.

Все, что вы хотели знать о SQL-инъекции (но боялись спросить) | Трой Хант[^]
Как я могу объяснить SQL-инъекцию без технического жаргона? | Обмен Стеками Информационной Безопасности[^]
Шпаргалка по параметризации запросов | OWASP[^]

1 Ответов

Рейтинг:
12

F-ES Sitecore

Если вы хотите выполнить несколько команд, вам нужно завершить их точкой с запятой. Кроме того, вставка сгенерирует результирующий набор, хотя и один с нулевыми строками, поэтому ваш вызывающий код должен будет принять это во внимание, но вы можете игнорировать пустой набор данных, используя SET NOCOUNT ON. Далее, Если вы хотите получить идентификатор строки, которую вы только что вставили в use, выберите SCOPE_IDENTITY().

Используя эти вещи, вы должны быть в состоянии сделать то, что вы делаете. Кроме того, обратите внимание на использование параметризованных запросов, поскольку ваш код подвержен атакам sql-инъекций.

Member 14067578

спасибо