Inclure la zone de texte valeur dans la Requête SQL

Je suis en train de rechercher un GridView à l'aide d'une zone de texte et le bouton de recherche. Je pense que j'ai besoin d'une requête quelque chose comme 

SELECT employeeID, name, position, hourlyPayRate 
FROM dbo.employee 
WHERE name LIKE 'textBox1.text+'

J'ai fait la requête à l'aide du concepteur de requêtes dans visual studio 2013.

J'ai ensuite un gestionnaire d'événements comme cette 

private void btnSearch_Click(object sender, EventArgs e)
{            
    this.employeeTableAdapter.FillBy(this.personnelDataSet.employee); 
}

Je suis sûr que le problème est dans la requête, mais je ne sais pas comment inclure la valeur de la textbox dans la requête.

  • Pourquoi les gens insistent sur l'utilisation de DataTable etc? Pensez à les chatons! Aussi: ne jamais jamais concaténer d'entrée...
  • oui, très mauvais joo joo. Votre uni professeurs méritent d'être moqué. Laissez les Juifs, bien ;p
  • haha je viens de sonner à la sortie!
InformationsquelleAutor Matt | 2014-05-15
  1. 1

    De simplement changer votre requête, il devrait ressembler à:

    string textboxValue = textbox1.Text;
string query = "SELECT employeeID, name, position, hourlyPayRate " +
               "FROM dbo.employee " +
               "WHERE name LIKE '" + textboxValue + "'";

    Mais ce est vulnérable à l'injection SQL, vous devez utiliser un SqlCommand avec paramètres:

    string commandText = "SELECT employeeID, name, position, hourlyPayRate " +
                     "FROM dbo.employee WHERE name LIKE '%'+ @Name + '%'";

using (SqlConnection connection = new SqlConnection(connectionString))
{
    //Create a SqlCommand instance
    SqlCommand command = new SqlCommand(commandText, connection);
    //Add the parameter
    command.Parameters.Add("@Name", SqlDbType.VarChar, 20).Value = textbox1.Text;

    //Execute the query
    try
    {
        connection.Open();
        command.ExecuteNonQuery();
    }
    catch
    {
        //Handle exception, show message to user...
    }
    finally
    {
        connection.Close(); 
    }
}

    Mise à jour:

    Pour exécuter ce code sur le clic d'un bouton, placez le code ici (assurez-vous de l'avoir un bouton avec le nom YourButton):

    private void YourButton_Click(object sender, EventArgs e)
{
    //Place above code here
}

    Update2:

    Vous devriez avoir une chaîne de connexion à utiliser en l'occurrence de SqlConnection, cette chaîne pourrait ressembler à quelque chose comme:

    string connectionString = "Server=myServerAddress;Database=myDataBase;User Id=myUsername;Password=myPassword;";

    Ici, vous aurez à remplacer les valeurs de départ avec my avec vos propres valeurs. Plus d'infos/exemples sur connectionstrings pour SQL Server:

    • enregistrez-moi de l'écriture..finissait tout juste
    • Merci pour la réponse. Je voudrais apprendre de bonnes habitudes ici, donc je vais essayer d'utiliser le SqlCommand avec des paramètres. Comment aurais-je exécuter la requête dans le gestionnaire d'événements de bouton?
    • J'ai changé mon code déjà, le placer dans le cas de la touche que vous préférez.
    • corrigez-moi si je me trompe. La Position doit être [Position] dans la requête.
    • connectionString n'existe pas dans le contexte actuel, apparemment. Dois-je avoir besoin d'un nouveau à l'aide de directives? Aussi l'erreur sur ExecuteQuery.
    • Merci - La dernière chose est que le ExecuteQuery - Erreur de 1 'Système.Les données.SqlClient.SqlCommand' ne contient pas une définition pour 'ExecuteQuery' et aucune méthode d'extension 'ExecuteQuery' acceptant un premier argument de type 'System.Les données.SqlClient.SqlCommand' a pu être trouvé (vous manque une directive using ou une référence d'assembly?)
    • Mis à jour, doit avoir été ExecuteNonQuery, mon mauvais.
    • Merci, aussi, j'obtiens une erreur lors de la connexion.open() - Une exception non gérée du type 'System.Les données.SqlClient.SqlException' s'est produite dans System.Data.dll
    • Vous devriez ouvrir une nouvelle question à ce sujet, y compris le code et l'exception + message qui est jeté. Cette exception est hors-sujet en ce qui concerne votre question initiale. Je serai heureux de vous aider davantage là-bas.

    InformationsquelleAutor Abbas
  2. 1

    Comme makambi déjà dit. Vous ne devriez pas le faire comme ça parce que vous êtes à l'ouverture des portes pour l'injection SQL. Plutôt utiliser des requêtes paramétrées comme ceci:

    SqlCommand cmd = new SqlCommand("SELECT employeeID, name, position, hourlyPayRate FROM dbo.employee WHERE name LIKE @name", connection);

cmd.Parameters.Add("@name", textBox1.Text);
connection.Open();
cmd.ExecuteNonQuery();

    ou utiliser un stockées procédures.

    InformationsquelleAutor user3596113
  3. 1

    Comme un mineur de côté; ici est une approche alternative qui montre comment le faire en évitant la surcharge de DataTable etc, et avec simple mais efficace et sécuritaire de paramétrage et de matérialisation:

    public class Employee {
    public int EmployeeID {get;set;}
    public string Name {get;set;}
    public string Position {get;set;}
    public decimal HourlyPayRate {get;set;}
}
...
//uses the "dapper" tool to provide the Query<T> extension method;
//freely available from NuGet: PM> Install-Package Dapper
var employees = connection.Query<Employee>(@"
SELECT employeeID, name, position, hourlyPayRate 
FROM dbo.employee 
WHERE name LIKE @pattern",
    new { pattern = "%" + textBox1.Text + "%" }).ToList();

grid.DataSource = employees;
    InformationsquelleAutor Marc Gravell
  4. 0

    Où la clause where name LIKE textBox1.texte + 'reste de la requête'

    Mais comme makambi mentionne, la façon dont votre e la construction de la requête vous ouvrir à l'injection sql

    • qu'entendez-vous par "reste de requête", qui serait la fin serait-il pas?
    InformationsquelleAutor 3dd
  5. 0

    Si j'ai bien compris à droite, vous créer manuellement votre requête sql. C'est une mauvaise pratique de le faire avec la plaine de concaténation de chaîne, parce qu'il rend possible des injections SQL, vous devez plutôt utiliser SqlCommand syntaxe et juste ajouter SqlParameters en elle.

       using (var sqlConnection = new SqlConnection("connection"))
   {
       var commandText = "SELECT employeeID, name, position, hourlyPayRate FROM dbo.employee WHERE name LIKE @name";

       using (var sqlCommand = new SqlCommand(commandText, sqlConnection))
       {
             sqlCommand.Parameters.Add("@salary", SqlDbType.Money).Value = textBox1.text;
       }
   }

    Ce n'est pas vraiment testé, et il peut ne pas fonctionner comme il est, mais il décrit et idée. Vous venez d'ajouter des paramètres avec sql type dont vous avez besoin, veuillez voir plus d'exemples ici: Quand faut "SqlDbType" et "taille" être utilisé lors de l'ajout SqlCommand Paramètres?

    • Je pense que cela devrait mieux être un commentaire
    InformationsquelleAutor makambi