c# 文本框自动完成来自 sql table
c# textbox autocomplete from sql table
我需要在 combobox1 中搜索表格,用户将在 autoCompleteTextbox1 中输入文本,它可以是 itemcode 或 itemname
但我收到错误提示:
Additional information: The variable name '@name' has already been
declared. Variable names must be unique within a query batch or stored procedure.
if (cn.State == ConnectionState.Closed)
{
cn.Open();
}
cm.Connection = cn;
if (autoCompleteTextbox1.Text == "")
{
}
else
{
AutoCompleteStringCollection namecollection = new AutoCompleteStringCollection();
string searchFor = "%" + autoCompleteTextbox1.Text + "%"; //the string the user entered.
string tableName = comboBox1.Text;
cm.CommandText = @"SELECT distinct(itmcode+''+itmname) AS name FROM " + tableName + " WHERE itmcode Like @name OR itmname LIKE @name";
cm.Parameters.AddWithValue("@name", searchFor);
SqlDataReader rea = cm.ExecuteReader();
if (rea.HasRows == true)
{
while (rea.Read())
namecollection.Add(rea["name"].ToString());
}
rea.Close();
autoCompleteTextbox1.AutoCompleteMode = AutoCompleteMode.Suggest;
autoCompleteTextbox1.AutoCompleteSource = AutoCompleteSource.CustomSource;
autoCompleteTextbox1.AutoCompleteCustomSource = namecollection;
我的代码有什么错误以及如何修复它
cm变量表示一个命令。
因为 cm.Parameters.AddWithValue("@name", searchFor); 因错误 The variable name '@name' has already been declared. 而失败,您可以得出结论,cm 变量比此代码块的寿命更长。
您可以
1) 每次都重新初始化命令(这是大多数人所做的事情)。
例如
cm = new SqlCommand(); //Assumes sql server
cm.Connection = cn;
或
2) 检查@name参数的cmd.Parameters,如果不存在则添加,然后设置。
if (!(cmd.Parameters.Contains("@name")
{
cmd.Paramters.Add("@name",SqlDbType.Varchar)
}
cmd.Paramters["@name"].Value = serachFor;
关于 SQL 注入 FROM " + tableName + " WHERE.
的注意事项
comboBox1.Text 是填充 tableName 的内容。如果它是用户可以更改的字符串(例如网页),则它只是一个危险的字符串。如果它是 WPF 或 Window Forms 应用程序,那么它并不危险。*
如果 comboBox1.Text 来自网页,那么您可以做的最好的事情就是使用白名单来验证字符串是否未被更改,如果已更改则不 return任何结果。例如
if (!ValidTableNames.Contains(tableName))
return;
好的是你已经有了白名单,因为你用它填充了组合框。
*从技术上讲,他们可以使用调试器工具更改这些值,但此时他们可以直接更改命令文本。
替换
string searchFor = "%" + autoCompleteTextbox1.Text + "%"; //the string the user entered.
string tableName = comboBox1.Text;
cm.CommandText = @"SELECT distinct(itmcode+''+itmname) AS name FROM " + tableName + " WHERE itmcode Like @name OR itmname LIKE @name";
cm.Parameters.AddWithValue("@name", searchFor);
和
string searchFor = "%" + autoCompleteTextbox1.Text + "%";
string tableName = comboBox1.Text;
cm.CommandText = @"SELECT distinct(itmcode+''+itmname) AS name FROM " + tableName + " WHERE itmcode Like '" + searchFor + "' OR itmname LIKE '" + searchFor + "'";
我需要在 combobox1 中搜索表格,用户将在 autoCompleteTextbox1 中输入文本,它可以是 itemcode 或 itemname
但我收到错误提示:
Additional information: The variable name '@name' has already been declared. Variable names must be unique within a query batch or stored procedure.
if (cn.State == ConnectionState.Closed)
{
cn.Open();
}
cm.Connection = cn;
if (autoCompleteTextbox1.Text == "")
{
}
else
{
AutoCompleteStringCollection namecollection = new AutoCompleteStringCollection();
string searchFor = "%" + autoCompleteTextbox1.Text + "%"; //the string the user entered.
string tableName = comboBox1.Text;
cm.CommandText = @"SELECT distinct(itmcode+''+itmname) AS name FROM " + tableName + " WHERE itmcode Like @name OR itmname LIKE @name";
cm.Parameters.AddWithValue("@name", searchFor);
SqlDataReader rea = cm.ExecuteReader();
if (rea.HasRows == true)
{
while (rea.Read())
namecollection.Add(rea["name"].ToString());
}
rea.Close();
autoCompleteTextbox1.AutoCompleteMode = AutoCompleteMode.Suggest;
autoCompleteTextbox1.AutoCompleteSource = AutoCompleteSource.CustomSource;
autoCompleteTextbox1.AutoCompleteCustomSource = namecollection;
我的代码有什么错误以及如何修复它
cm变量表示一个命令。
因为 cm.Parameters.AddWithValue("@name", searchFor); 因错误 The variable name '@name' has already been declared. 而失败,您可以得出结论,cm 变量比此代码块的寿命更长。
您可以
1) 每次都重新初始化命令(这是大多数人所做的事情)。 例如
cm = new SqlCommand(); //Assumes sql server
cm.Connection = cn;
或
2) 检查@name参数的cmd.Parameters,如果不存在则添加,然后设置。
if (!(cmd.Parameters.Contains("@name")
{
cmd.Paramters.Add("@name",SqlDbType.Varchar)
}
cmd.Paramters["@name"].Value = serachFor;
关于 SQL 注入 FROM " + tableName + " WHERE.
comboBox1.Text 是填充 tableName 的内容。如果它是用户可以更改的字符串(例如网页),则它只是一个危险的字符串。如果它是 WPF 或 Window Forms 应用程序,那么它并不危险。*
如果 comboBox1.Text 来自网页,那么您可以做的最好的事情就是使用白名单来验证字符串是否未被更改,如果已更改则不 return任何结果。例如
if (!ValidTableNames.Contains(tableName))
return;
好的是你已经有了白名单,因为你用它填充了组合框。
*从技术上讲,他们可以使用调试器工具更改这些值,但此时他们可以直接更改命令文本。
替换
string searchFor = "%" + autoCompleteTextbox1.Text + "%"; //the string the user entered.
string tableName = comboBox1.Text;
cm.CommandText = @"SELECT distinct(itmcode+''+itmname) AS name FROM " + tableName + " WHERE itmcode Like @name OR itmname LIKE @name";
cm.Parameters.AddWithValue("@name", searchFor);
和
string searchFor = "%" + autoCompleteTextbox1.Text + "%";
string tableName = comboBox1.Text;
cm.CommandText = @"SELECT distinct(itmcode+''+itmname) AS name FROM " + tableName + " WHERE itmcode Like '" + searchFor + "' OR itmname LIKE '" + searchFor + "'";