我正在创建一个网页来托管数据库。
我希望此网页具有搜索框功能,可以为 SSMS 2014 中的表更新 Visual Studio 2017 中的 GridView。
我希望这个 GridView 是动态的,因为最终用户可以选择一个表、一个列,然后指定一个“searchString”来应用于该列中的数据。
网页如下所示:
继续看代码。
在搜索按钮单击事件中,我希望将三个文本框中每个文本框中的值传递到存储过程中。
这是按钮单击事件的当前代码。
protected void btnSearch_Click(object sender, EventArgs e)
{
using (SqlConnection con = new SqlConnection(ConfigurationManager.ConnectionStrings["CID1ConnectionString"].ConnectionString))
{
SqlDataAdapter searchAdapter = new SqlDataAdapter("Search", con);
searchAdapter.SelectCommand.CommandType = CommandType.StoredProcedure;
searchAdapter.SelectCommand.Parameters.AddWithValue("@TableName", TableSearchBox.Text.Trim()); // passing text in first text box in
searchAdapter.SelectCommand.Parameters.AddWithValue("@columnSpecifier", ColumnSearchBox.Text.Trim()); // passing text in second text box in
searchAdapter.SelectCommand.Parameters.AddWithValue("@searchString", searchStringBox.Text.Trim()); // passing text in third text box in
DataTable temptable = new DataTable(); //table to have data that satisfies searchString copied to
searchAdapter.Fill(temptable); //filling table from adapter
tableDisplay.DataSource = temptable;
//tableDisplay.Columns[0].Visible = false;
tableDisplay.DataBind();//bind step
}
}
这是我当前的存储过程:
ALTER PROCEDURE dbo.Search
(@tableName NVARCHAR(50),
@columnSpecifier NVARCHAR(50),
@searchString NVARCHAR(50))
AS
EXEC('SELECT * FROM ' + @tableName + ' WHERE ' + @columnSpecifier + ' LIKE '' + @searchString + %''')
如果最终用户用“Basic_Info”填充第一个文本框,用“Name”填充第二个文本框,用“M”填充最后一个文本框,则应该实现与此类似的查询。
SELECT Name
FROM Basic_Info
WHERE Name LIKE 'M%'
看来是因为我在中使用动态表名称FROM子句我需要使用动态SQL。我已将查询放入EXEC块并用单引号 (') 包围我的 SQL 语法。这些单引号似乎使我在我的LIKE条款不可能,但也许我只是没有看到它。
有没有办法实现这个功能?我应该备份并以其他方式执行此操作吗?我读到这可能会导致 SQL 注入,这听起来像是应该避免的事情。任何关于这篇文章及其格式的建议都值得赞赏。这是我关于堆栈溢出的第一个问题!
编辑:事实证明存储过程和参数的使用是不必要的。我的最终按钮单击事件如下所示,只是获取文本框文本值来填写查询。
protected void btnSearch_Click(object sender, EventArgs e)
{
using (SqlConnection con = new SqlConnection(ConfigurationManager.ConnectionStrings["CID1ConnectionString"].ConnectionString))
{
DataTable temptable = new DataTable(); //table to have data that satisfies searchString copied to
SqlDataAdapter searchAdapter = new SqlDataAdapter("SELECT * FROM " + TableSearchBox.Text.Trim() + " WHERE " + ColumnSearchBox.Text.Trim() + " LIKE '" + searchStringBox.Text.Trim() + "%'", con);
searchAdapter.Fill(temptable); //filling table from adapter
tableDisplay.DataSource = temptable;
tableDisplay.DataBind();//bind step
}
}
这是一个参数化动态 SQL 示例,使用QUOTENAME对于标识符:
CREATE PROCEDURE dbo.Search
@tableName sysname,
@columnSpecifier sysname,
@searchString nvarchar(50)
AS
DECLARE @SQL nvarchar(MAX);
SET @SQL = N'SELECT * FROM ' + QUOTENAME(@tableName) + N' WHERE ' + QUOTENAME(@columnSpecifier) + N' LIKE @searchString + ''%'';';
EXEC sp_executesql
@SQL
, N'@searchString nvarchar(50)'
, @searchString = @searchString;
GO
我一般推荐一个避免添加值因为它从提供的 .NET 类型推断 SQL 数据库类型。尽管这不是一个问题,因为您正在使用存储过程并且 System.String 映射到 SQL Servernvarchar,最好明确指定所需的 SqlDbType 和长度(或精度和小数位数)。下面是一种方法。
searchAdapter.SelectCommand.Parameters.Add("@TableName", SqlDbType.NVarChar, 128).Value = TableSearchBox.Text.Trim()); // passing text in first text box in
searchAdapter.SelectCommand.Parameters.Add("@columnSpecifier", SqlDbType.NVarChar, 128).Value = ColumnSearchBox.Text.Trim()); // passing text in second text box in
searchAdapter.SelectCommand.Parameters.Add("@searchString", SqlDbType.NVarChar, 50).Value = searchStringBox.Text.Trim()); // passing text in third text box in