| Forum: ADO.NET |
Thema:
SQL erzeugen? |
Von:
Halil EROL (
21.05.2005 21:17) |
Hallo,
ich habe 3 Textboxen und 3 komboboxen und einen Button auf dem Form.
Die Werte sind z.B. wie folgendes:
Text1.text = "A"
Text2.text = "B"
Text3.text = "3"
Combo1.text = "AB"
Combo2.text = "GH"
Combo3.text = "21"
so, ich möchte die angegebene Daten in einer String speichern,beim Button klick neue SQL Anweisung erzeugen und damit meine DB durchsuchen und anzeigen kann.
Wenn ich alle Felder auswähle bzw. ausfülle und button klicke dann SQL Anweisung soll wie folgendes erzeugen:
"SELECT * FROM Tabelle1 WHERE suche1=me.text1.text AND suche2=me.text2.text AND suche3=me.text3.text AND suche4=me.combo1.text AND suche5.combo2.text AND suche6=combo3.text"
Wie ist das möglich?
Ich konnte es leider nicht geschafft.
Ich wäre sehr dankbar wenn ihr helfen könnt.
Danke im Voraus...
Haler
| Betreff |
Von |
Datum |
|
|
  |
Re: SQL erzeugen?
| du willst sicher nichtdas das Kommando so aussieht<br>SELECT * FROM Tabelle1 WHERE suche1=me.text1.text AND suche2=me.text2.text AND suche3=me.text3.text AND suche4=me.combo1.text AND suche5.combo2.text... |
|
|
|
|
|
Hannes
Preishuber
|
22.05.2005 10:04 |
|
|
|
Re: SQL erzeugen?
| Danke Hannes,<br><br>Es war sehr hilfreich für mich.<br>Jetzt funktioniert SQL wieder :)<br>Dankeeeeeeeeeeeeeeeee<br><br>MfG, |
|
|
|
|
|
Halil
EROL
|
22.05.2005 13:25 |
|
|
|
Re: SQL erzeugen?
| Ergänzend möchte ich hinzufügen das man Replace("'","''") nutzen sollte (man ist vor SQL-Injection sicherer und der Nutzer kann dann auch das ' in seinem PWD oder Loginnamen (oder was auch immer)... |
|
|
|
|
|
Thomas
Golla
|
23.05.2005 11:09 |
|
|
|
Re: SQL erzeugen?
| Thomas, mit verlaub, das ist Blödsinn<br><br>http://weblogs.asp.net/hpreishuber/archive/2004/04/30/123901.aspx<br><br>Das Motto muss lauten, alles verbieten und nur das erlauben was man braucht.<br>Also NICHT... |
|
|
|
|
|
Hannes
Preishuber
|
23.05.2005 13:35 |
|
|
|
Re: SQL erzeugen?
| Tja, wie er schon gepostet hat "you never know, what you dont know" :-)<br><br>Und wieder was gelernt ... :-)<br><br>Danke Hannes ... da hatte ich bis dato wohl immer Glück. |
|
|
|
|
|
Thomas
Golla
|
23.05.2005 14:15 |
|
|
|
Re: SQL erzeugen?
| Eine Sache interessiert mich aber noch ... <br>Wenn ich dies habe:<br>"select * from a where b = '" & c.replace("'","''") & "'"<br><br>welche syntax muss in c stehen damit ein sql-injenction erfolg hat und... |
|
|
|
|
|
Thomas
Golla
|
24.05.2005 11:12 |
|
|
|
Re: SQL erzeugen?
| Hallo Leute,<br><br>das beste, um SQL Injection entgegen zu wirken, sind doch wohl Parameter, die man immer verwenden sollte, oder sehe ich das falsch ?<br><br>Wie z.B.<br>SELECT * FROM a <br>WHERE b = @p_b<br>AND ... |
|
|
|
|
|
G.
Guest
|
02.06.2005 16:14 |
|
|
|
Antworten
Vorsicht bei der Eingabe: Die Zeichen ' oder -- sind nicht erlaubt!
