我正在编写一个函数,用于从列表框中获取尽可能多的多个选定项目,并将 vaules 传递给 SQL 查询,以便在从另一个表中选择过滤后将值插入到表中。我键入的代码在下面,它似乎不起作用(问题在于我将字符串传递给查询的方式。
string lbSites = "";
protected void Button1_Click1(object sender, EventArgs e)
{
string cns = "server=abc;database=testDB;Trusted_Connection=True";
using (SqlConnection con = new SqlConnection(cns))
{
using (SqlCommand command = con.CreateCommand())
{
command.CommandText = "INSERT INTO Activity (Hostname,Site,Status,System_Dept,Business_Dept)"
+ "SELECT * FROM Inventory WHERE Site IN ("+lbSites+");"
;
con.Open();
command.Parameters.AddWithValue("@lbSites", lbSites);
command.ExecuteNonQuery();
con.Close();
}
}
}
protected void ListBox1_SelectedIndexChanged(object sender, EventArgs e)
{
if (ListBox1.Items.Count > 0)
{
for (int i = 0; i < ListBox1.Items.Count; i++)
{
if (ListBox1.Items[i].Selected)
{
lbSites += "'" + ListBox1.Items[i].Value + "', ";
}
}
}
}
你不应该直接将这样的值传递给SQL,因为它会让你容易受到SQL注入攻击。
相反,您可以确定需要多少个参数,然后将这些参数名称插入到查询中。
此方法最多适用于大约 2,000 个值(假设为 SQL Server)。如果需要传递更多值,则需要将查询分解为子集,或使用参数值表。
示例(未测试,因此可能有一些错误):
// Get your selected items:
var items = ListBox1.Items.Where(i=>i.Selected).Select(i=>i.Value).ToArray();
// Create a series of parameters @param0, @param1, @param2..N for each value.
string paramNames = string.Join(", ", Enumerable.Range(0,items.Count()).Select(e=>"@param"+e));
// Build the command text and insert the parameter names.
string commandText = "INSERT INTO Activity (Hostname,Site,Status,System_Dept,Business_Dept)"
+ "SELECT * FROM Inventory WHERE Site IN ("+ paramNames +")";
command.CommandText = commandText;
// Now add your parameter values: this binds @param0..N to the values selected.
for(int param=0;param<items.Count();param++)
{
command.Parameters.AddWithValue("@param" + param, items[param]);
}
发回时,lbSites
的值都会丢失。将其保留在视图状态中。
此外,您不需要command.Parameters.AddWithValue("@lbSites", lbSites);
因为 sql 中没有@lbSites
参数。
try this
SELECT M.REG_NO, T.TYPE_ID
FROM MAIN AS M
INNER JOIN CLASSIFICATION AS C
ON M.REG_NO = C.REG_NO
INNER JOIN TYPE AS T
ON T.TYPE_ID = C.TYPE_ID
WHERE (@Types) like .LIKE '%,' +T.TYPE_ID+ ',%'