値を更新するクエリ

Question

データベースを更新しようとしています。つまり、MS Accessファイルです。テキストボックスから値を取得してテーブルを更新したいのですが、適切なクエリを作成できません。

誰でも適切な更新クエリを書くのを助けてくれますか？

string strconn4 = "Provider=Microsoft.ACE.OLEDB.12.0;Data Source=|DataDirectory|pay.accdb"; 

OleDbConnection sqlconn4 = new OleDbConnection(strconn4); 
sqlconn4.Open();  
OleDbCommand ocmd = new OleDbCommand("UPDATE fees SET fname=" + Convert.ToString(textBox2.Text) + ",lname=" + Convert.ToString(textBox3.Text) + ",amtpayd=" + Convert.ToString(textBox4.Text) + ",amtleft=" + Convert.ToString(textBox5.Text) + ",disc=" + Convert.ToString(textBox6.Text) + ",pdate=" + Convert.ToString(dateTimePicker3.Text) + ",rdate=" + Convert.ToString(dateTimePicker1.Text) + ",WHERE memid=" + Convert.ToString(textBox1.Text), sqlconn4); 

Answer 1

コードはSQL injectionになりがちです。これは非常に深刻なセキュリティ上の問題です。

代わりにパラメータ化クエリを使用する必要があります。

参照やサンプルを含むこのようなクエリを構築する方法についていくつかのリンク：

• http://msdn.microsoft.com/en-us/library/system.data.oledb.oledbcommand.aspx
• http://www.mikesdotnetting.com/Article/26/Parameter-Queries-in-ASP.NET-with-MS-Access
• https://stackoverflow.com/a/4589424/847363
• http://social.msdn.microsoft.com/Forums/en/accessdev/thread/33f3f6bc-03b2-4f64-84ca-cef65bbc0eee

Answer 2

このよう

string sql=string.Format("UPDATE Table1 SET column1='{0}',column2='{1}' where id={2}",tbx1.text,tbx2.text,tbx3.text); 
    SqlConnection conn = new SqlConnection(); 
    conn.ConnectionString = strconn4; 
     SqlCommand cmd = new SqlCommand(); 
      cmd.CommandText = sql; 
      cmd.Connection = conn; 
    conn.Open(); 
    cmd.ExecuteNonQuery(); 
    conn.Close();