Naveed ul Hasaan Ответов: 2

Я хочу проверить студента перед генерацией платы в C# с помощью цикла for или цикла foreach.

i want to generate the student fees of current month. before fee fee_generation i want to verify each student . if fee is no generated then i will generate if already generated i will not generate. i


Что я уже пробовал:

foreach (DataGridViewRow row in dataGridshowstdfee.Rows)
                    {
                        DataGridViewCheckBoxCell chk = dataGridshowstdfee>Rows.Cells[0] as DataGridViewCheckBoxCell;

                        if (Convert.ToBoolean(chk.Value) == true)
                        {
                            cc.connect_open();
                            SqlCommand cmdcheckfee = new SqlCommand("select year, month, class ,section , std_id from sms_fee_generated where year='" + comboBoxyear.Text + "' and  month='" + comboBoxmonth.Text + "' and class='" + comboBoxclass.Text + "' and section ='" + comboBoxsec.Text + "' and std_id= '" + dataGridshowstdfee.Rows.Cell[0].tostring+ "' ", cc.con);
                            SqlDataReader drfee = cmdcheckfee.ExecuteReader();
                            if (drfee.Read())
                            {
                                MessageBox.Show("In This Month Fee of This Class is Already Generated");
                            }
                            else
                            {

                                savevoucher();

                            }
                        }
                    }

OriginalGriff

И что же?
А что вы пробовали?
Где ты застрял?
Какая помощь вам нужна?

2 Ответов

Рейтинг:
1

OriginalGriff

Не делай этого так! Никогда не объединяйте строки для построения команды SQL. Это оставляет вас широко открытыми для случайной или преднамеренной атаки SQL-инъекции, которая может уничтожить всю вашу базу данных. Вместо этого всегда используйте параметризованные запросы.

Когда вы объединяете строки, вы вызываете проблемы, потому что SQL получает такие команды, как:

SELECT * FROM MyTable WHERE StreetAddress = 'Baker's Wood'
Цитата, добавленная пользователем, завершает строку в том, что касается SQL, и вы получаете проблемы. Но могло быть и хуже. Если я приду и наберу вместо этого: "x';DROP TABLE MyTable;--", то SQL получит совсем другую команду:
SELECT * FROM MyTable WHERE StreetAddress = 'x';DROP TABLE MyTable;--'
Которые SQL видит как три отдельные команды:
SELECT * FROM MyTable WHERE StreetAddress = 'x';
Совершенно правильный выбор
DROP TABLE MyTable;
Вполне допустимая команда "удалить таблицу" 
--'
А все остальное-это комментарии.
Так оно и происходит: выбирает любые совпадающие строки, удаляет таблицу из базы данных и игнорирует все остальное.

Поэтому всегда используйте параметризованные запросы! Или будьте готовы часто восстанавливать свою БД из резервной копии. Вы ведь регулярно делаете резервные копии, не так ли?

Рейтинг:
1

Patrice T 

SqlCommand cmdcheckfee = new SqlCommand("select year, month, class ,section , std_id from sms_fee_generated where year='" + comboBoxyear.Text + "' and  month='" + comboBoxmonth.Text + "' and class='" + comboBoxclass.Text + "' and section ='" + comboBoxsec.Text + "' and std_id= '" + dataGridshowstdfee.Rows.Cell[0].tostring+ "' ", cc.con);

Никогда не создавайте SQL-запрос путем объединения строк. Рано или поздно вы сделаете это с помощью пользовательских вводов, и это откроет дверь к уязвимости под названием "SQL-инъекция", она опасна для вашей базы данных и подвержена ошибкам.
Одна кавычка в имени - и ваша программа выйдет из строя. Если пользователь вводит имя, например "Брайан О'Коннер", может привести к сбою вашего приложения, это уязвимость SQL-инъекции, и сбой-это наименьшая из проблем, вредоносный пользовательский ввод, и он продвигается к командам SQL со всеми учетными данными.
SQL-инъекция - Википедия[^]
SQL-инъекция[^]
Атаки SQL-инъекций на примере[^]
PHP: SQL-инъекция - руководство пользователя[^]
Шпаргалка по предотвращению инъекций SQL - OWASP[^]
Как я могу объяснить SQL-инъекцию без технического жаргона? - Обмен Стеками Информационной Безопасности[^]