>我有一个数据网格视图。在此DGV中,第一个列是一个组合框列。我想做的是,当选择这个组合框值时,下一个fild将自动从数据库中填充。但是有一个错误。
没有为一个或多个必需参数提供值 OleDbDataReader dr1 = cmd1.执行读取器();
我发布代码。请帮助我。
OleDbConnection con = new OleDbConnection(conn);
con.Open();
for (int i = 0; i < dgv.Rows.Count; i++)
{
string query = "select Description from General where AccCode='" +
dgv.Rows[i].Cells[0].Value +
"' and conpanyID='" +
label1.Text + "'";
OleDbCommand cmd1 = new OleDbCommand(query, con);
//OleDbDataAdapter daBranchName = new OleDbDataAdapter(cmd);
OleDbDataReader dr1 = cmd1.ExecuteReader();
while (dr1.Read())
{
dgv.Rows[i].Cells[1].Value = dr1["Description"].ToString();
}
}
con.Close();
这种字符串连接对SQL注入攻击是开放的。
请改用参数化查询。
string query = "select [Description] from [General] where AccCode= ? and conpanyID= ?";
OleDbCommand cmd1 = new OleDbCommand(query, con);
cmd1.Parameters.AddWithValue("@acc", dgv.Rows[i].Cells[0].Value);
cmd1.Parameters.AddWithValue("@ID", label1.Text);
正如HansUp所指出的,Description和General是保留关键字。将它们与方括号一起使用,如 [Description] 和 [General]
按照建议,使用参数化查询。
就错误而言,我猜这个字段名称是错误的:
conpanyID=
应该是:
companyID=
使用参数,否则它将打开 sql 注入攻击。
string query = "select [Description] from General where AccCode=? and conpanyID=?";
现在您可以设置参数
cmd.Parameters.AddWithValue("@p1", val1);
cmd.Parameters.AddWithValue("@p2", val2);