コンボボックスを使用してデータベースからデータを取得する

Question

私はちょっとしたプロジェクトがあります。コンボボックスをデータベーステーブルに接続していますが、私はそこから値を選択すると残りのテーブルを表示するボタンをコーディングする必要があります。コンボボックス。そのプロジェクトでSQLEXPRESSデータベースを使用しているだけで助けているかもしれません。

「」私はこのコードを試してみましたが、それは私に近い

間違った構文をエラーを与えて、私のために動作しませんでした。

string Msg; 
     Msg = m.RunDml(" Select * From Doctor Where DocName=" + txtName.Text + " , Gender='" + chk1.Text + "' , BirthDate='" + dtpBDate.Text + "' , Address='" + txtAddress.Text + "' , Salary='" + txtSalary.Text + "')"); 
     if (Msg == "ok") 
     { 
      MessageBox.Show(" Editing Successfully done! "); 
     } 
     else 
     { 
      MessageBox.Show(Msg); 
     } 

のでDocIDコードのComboBoxは次のとおりです。

this.doctorTableAdapter.Fill(this.testdb_morgDataSet.Doctor); 

Answer 1

コメントとノーリスカスの回答で約SQL injectionの点が作られています。

あなたのエラーの理由は、あなたがAND（またはそうではない - OR）を使用してカンマを使用しているようです。カンマは（afaik）WHERE句で許可されていません。私はちょうど私のSQLサーバーでこれを試して、あなたと同じエラーが発生しました。

詳細については、this MSDN documentation of the WHERE clauseを参照してください。

だからこれにあなたの要求を変更します。

"SELECT * FROM Doctor WHERE DocName='" + txtName.Text + "' AND Gender='" + 
    chk1.Text + "' AND BirthDate='" + dtpBDate.Text + "' AND Address='" + 
    txtAddress.Text + "' AND Salary='" + txtSalary.Text + "'" 

はtxtName.Textの周りに引用符を忘れてはいけないと終わりに余分閉じ括弧を削除します。

また、SQLインジェクションの脆弱性についてご報告ください。テキストボックスの1つに'を入力するとすぐにリクエストが破棄されることに注意してください。

Answer 2

良いニュースは、システムが実際には非常に有用であることされていることです。 SQLコマンドの最初のコンマを見ると、それはあなたのtxtName.txtの後ろにあります。これは引用符で囲まれていることを忘れてしまっています（他のテキスト項目で行ったことがわかります）。

ので、試してみてください。

" Select * From Doctor Where DocName='" + txtName.Text + "' , Gender='" + chk1.Text + "' , BirthDate='" + dtpBDate.Text + "' , Address='" + txtAddress.Text + "' , Salary='" + txtSalary.Text + "')" 

は後日、プロジェクトを改善したり、生産のコードを書きたいなら、あなたはSQLインジェクションを防ぐことを見たいと思うでしょう。始めるときに心配しないで心に留めておいてください！ ... SQLインジェクションを防ぐには、ユーザーのフィールドをSQLクエリーに直接入れるのではなく、SQLインジェクションを使用してデータベースに悪いことをすることができます（たとえば、txtName.Textが"'; Delete * FROM Doctor;"に設定されている場合など）。 ..）