[英]Can't retrieve a specific item from a dataset
我已經查看了與此相關的其他問題,但我遇到了不同的問題。 我無法返回特定項目,它只返回我的列名。 我如何獲得退貨?
public static string GetOneFieldRecord(string field, string companyNum)
{
DataSet ds = new DataSet();
SqlCommand comm = new SqlCommand();
string strSQL = "SELECT @FieldName FROM Companies WHERE CompanyNum = @CompanyNum";
SqlConnection conn = new SqlConnection();
conn.ConnectionString = @connstring;
comm.Connection = conn;
comm.CommandText = strSQL;
comm.Parameters.AddWithValue("@FieldName", field);
comm.Parameters.AddWithValue("@CompanyNum", companyNum);
SqlDataAdapter da = new SqlDataAdapter();
da.SelectCommand = comm;
conn.Open();
da.Fill(ds, "CompanyInfo");
conn.Close();
return ds.Tables[0].Rows[0].ItemArray[0].ToString();
}
我也試過
return ds.Tables[0].Rows[0][0].ToString();
我只是得到字段變量中的任何內容。 如果我傳入 ("CompanyName", 33),它將返回"CompanyName"。
您的查詢(在 sql 探查器中)是
SELECT 'CompanyName' FROM Сompanies WHERE СompanyNum = 33
所以它准確地返回“CompanyName”字符串。 您不能將列名作為 sqlparameter 傳遞。 你應該做類似的事情
public static string GetOneFieldRecord(string field, string companyNum)
{
DataSet ds = new DataSet();
SqlCommand comm = new SqlCommand();
string strSQL = string.Format("SELECT {0} FROM Companies WHERE CompanyNum = @CompanyNum", field);
SqlConnection conn = new SqlConnection();
conn.ConnectionString = @connstring;
comm.Connection = conn;
comm.CommandText = strSQL;
comm.Parameters.AddWithValue("@FieldName", field);
comm.Parameters.AddWithValue("@CompanyNum", companyNum);
SqlDataAdapter da = new SqlDataAdapter();
da.SelectCommand = comm;
conn.Open();
da.Fill(ds, "CompanyInfo");
conn.Close();
return ds.Tables[0].Rows[0].ItemArray[0].ToString();
}
但是這段代碼可以用於SQL注入。
為避免 Sql 注入,您可以檢查 field 變量中的 fieldName 是否是表列之一。
或者你可以得到 SELECT * FROM Сompanies WHERE СompanyNum = @CompanyNum 並從數據表中獲取命名列的值:
public static string GetOneFieldRecord(string field, string companyNum)
{
DataSet ds = new DataSet();
SqlCommand comm = new SqlCommand();
string strSQL = "SELECT * FROM Companies WHERE CompanyNum = @CompanyNum";
SqlConnection conn = new SqlConnection();
conn.ConnectionString = @connstring;
comm.Connection = conn;
comm.CommandText = strSQL;
comm.Parameters.AddWithValue("@FieldName", field);
comm.Parameters.AddWithValue("@CompanyNum", companyNum);
SqlDataAdapter da = new SqlDataAdapter();
da.SelectCommand = comm;
conn.Open();
da.Fill(ds, "CompanyInfo");
conn.Close();
return ds.Tables[0].Rows[0][field].ToString();
}
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.