[英]c# textbox autocomplete from sql table
我需要在combobox1
搜索带有用户将在autoCompleteTextbox1
输入的文本的表,它可以是itemcode
或itemname
但我得到错误说:
附加信息:变量名“ @name”已经声明。 变量名称在查询批处理或存储过程中必须唯一。
if (cn.State == ConnectionState.Closed)
{
cn.Open();
}
cm.Connection = cn;
if (autoCompleteTextbox1.Text == "")
{
}
else
{
AutoCompleteStringCollection namecollection = new AutoCompleteStringCollection();
string searchFor = "%" + autoCompleteTextbox1.Text + "%"; //the string the user entered.
string tableName = comboBox1.Text;
cm.CommandText = @"SELECT distinct(itmcode+''+itmname) AS name FROM " + tableName + " WHERE itmcode Like @name OR itmname LIKE @name";
cm.Parameters.AddWithValue("@name", searchFor);
SqlDataReader rea = cm.ExecuteReader();
if (rea.HasRows == true)
{
while (rea.Read())
namecollection.Add(rea["name"].ToString());
}
rea.Close();
autoCompleteTextbox1.AutoCompleteMode = AutoCompleteMode.Suggest;
autoCompleteTextbox1.AutoCompleteSource = AutoCompleteSource.CustomSource;
autoCompleteTextbox1.AutoCompleteCustomSource = namecollection;
我的代码中有什么错误以及如何修复
cm
变量表示命令。
因为cm.Parameters.AddWithValue("@name", searchFor);
因错误The variable name '@name' has already been declared.
失败The variable name '@name' has already been declared.
您可以得出以下结论: cm
变量的寿命比该代码块的寿命长。
你可以
1)每次都重新初始化命令(大多数人都这样做)。 例如
cm = new SqlCommand(); //Assumes sql server
cm.Connection = cn;
要么
2)检查cmd.Parameters中的@name参数,然后添加(如果不存在),然后进行设置。
if (!(cmd.Parameters.Contains("@name")
{
cmd.Paramters.Add("@name",SqlDbType.Varchar)
}
cmd.Paramters["@name"].Value = serachFor;
有关使用FROM " + tableName + " WHERE.
进行SQL注入的说明FROM " + tableName + " WHERE.
comboBox1.Text是填充tableName的内容。 如果它是用户可以更改的字符串(例如网页),则仅是危险字符串。 如果它是WPF或Window Forms应用程序,那么这并不危险。*
如果comboBox1.Text来自网页,那么您可以做的最好的事情就是使用白名单来验证该字符串是否已被更改,如果不更改则不返回任何结果。 例如
if (!ValidTableNames.Contains(tableName))
return;
很好的是,因为您已经用组合列表填充了它,所以您已经有了白名单。
*从技术上讲,他们可以使用调试器工具来更改值,但是到那时,他们仍然可以直接直接更改命令文本。
更换
string searchFor = "%" + autoCompleteTextbox1.Text + "%"; //the string the user entered.
string tableName = comboBox1.Text;
cm.CommandText = @"SELECT distinct(itmcode+''+itmname) AS name FROM " + tableName + " WHERE itmcode Like @name OR itmname LIKE @name";
cm.Parameters.AddWithValue("@name", searchFor);
蒙山
string searchFor = "%" + autoCompleteTextbox1.Text + "%";
string tableName = comboBox1.Text;
cm.CommandText = @"SELECT distinct(itmcode+''+itmname) AS name FROM " + tableName + " WHERE itmcode Like '" + searchFor + "' OR itmname LIKE '" + searchFor + "'";
声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.