sql >> Database >  >> RDS >> Sqlserver

voeg meerdere records dynamisch in met één klik op de knop

Als u het exacte aantal onderwerpen niet weet om de cijfers in te voeren, hoe moeten we dan een zoekopdracht genereren om dit te doen?

Om u te laten zien hoe u zich kunt beschermen tegen SQL-injectieaanvallen, plaatst u uw SQL in Stored Procs:

create PROCEDURE [dbo].[pr_GetAssignedSubjectsByFacultyIdAndSemester]
@FacultyID int,
@Semester nvarchar(MAX)
AS
BEGIN
SET NOCOUNT ON;
SELECT [Faculty], [Subjects],[CreatedBy],[CreatedDate],[ModifiedBy],[ModifiedDate]
 FROM [dbo].[tblNotSure]
WHERE [FacultyID] = @FacultyID
AND [Semester] = @Semester
AND [IsDeleted] = 0
END

Dan noemen we in code de opgeslagen procedure, let op de geparametriseerde commando's, dit voorkomt SQL-injectie-aanvallen. Stel bijvoorbeeld dat we het semester ddl/textbox hebben getypt (of FireBug gebruiken om de elementenwaarde te bewerken) 1 UNION SELECT * FROM Master.Users - het uitvoeren van deze ad-hoc SQL zou de lijst met SQL-gebruikersaccounts kunnen retourneren, maar doorgegeven via een geparametreerde opdracht vermijdt het probleem:

public static aClassCollection GetAssignedSubjectsByFacultyIdAndSemester(int facultyId, string semester)
{
var newClassCollection = new aClassCollection();
    using (var connection = new SqlConnection(ConfigurationManager.ConnectionStrings["sqlConn"].ConnectionString))
    {
        using (var command = new SqlCommand("pr_GetAssignedSubjectsByFacultyIdAndSemester", connection))
        {
            try
            {
                command.CommandType = CommandType.StoredProcedure;
                command.Parameters.AddWithValue("@facultyId", facultyId);
                command.Parameters.AddWithValue("@semester", semester);
                connection.Open();
                SqlDataReader dr = command.ExecuteReader();
                while (dr.Read())
                {
                    newClassCollection.Add(new Class(){vals = dr["vals"].ToString()});
                }
            }
            catch (SqlException sqlEx)
            {
             //at the very least log the error
            }
            finally
            {
             //This isn't needed as we're using the USING statement which is deterministic                    finalisation, but I put it here (in this answer) to explain the Using...
                connection.Close();
            }
        }
    }

    return newClassCollection;
}



  1. PHP/Apache:PHP Fatale fout:Oproep naar ongedefinieerde functie mysql_connect()

  2. SUBDATE() vs DATE_SUB() in MySQL:wat is het verschil?

  3. ECONNRESET-fout bij het crashen van de NodeJS-toepassing

  4. Creëer trigger na invoegen