MS SQL Server
  1. MS SQL Server
  3. Comment append une valeur à Sql CommandText
Intereting Posts
Comment modifier une table lorsque la search en text intégral est activée? Insérer dans si n'existe pas en C # T-SQL – Où est #tempimport? ON DELETE CASCADE pour une relation many-to-many avec la même table dans MS SQL Server Clause SQL Where Coalese vs ISNULL VS Dynamic Requête d'agrégation dans la même instruction select Comment pouvez-vous annuler un process d'exécution SQL Server par programme Conversion de date TSQL Comment écrire dans une table sans bloquer d'autres transactions Obtenir les types de données à partir d'une instruction SQL arbitraire dans SQL Server 2008 Comment spécifier le port dans l'URL de connection JDBC pour le server failoverPartner dans SQL Server Comment créer une instruction SQL avec des ID qui ne sont peut-être pas disponibles dans la table? DateTime.FromOADate vs MSSQL Cast en tant que DateTime Création de traductions / expressions SQL personnalisées dans Entity Framework Sélectionnez les lignes de la hiérarchie en fonction des nœuds associés

Comment append une valeur à Sql CommandText

De nos jours je programme un logiciel de notation de cricket et tous les détails sont enregistrés dans une database. Je veux savoir comment append +1 au champ " W " dans la database lorsque vous click " Wicket ". 

cmd.CommandText = "UPDATE database.table SET W=W+1 WHERE bowler='" & frmmain.lblbowler.Text & "' "

Dans ce code, frmmain.lblbowler.text contient le nom du quilleur.

Ce code est-il correct? Quels changements doivent faire? S'il vous plaît, soyez assez aimable pour répondre.

Ne créez jamais une requête de cette façon! L'input frmmain.lblbowler.Text est généralement récupérée à partir d'un contrôle TextBox sur un formulaire Windows ou une page Web. Tout ce qui est placé dans ce contrôle TextBox sera mis dans frmmain.lblbowler.Text et ajouté à votre string SQL. Cette situation invite un pirate à replace cette string par quelque chose de malveillant. Dans le pire des cas, vous pouvez donner le contrôle total de votre ordinateur.

Au lieu de build dynamicment une string, comme indiqué dans votre code, utilisez des parameters.

Tout ce qui est placé dans un paramètre sera traité comme des données de champ, et non comme une partie de l'instruction SQL, ce qui rendra votre application beaucoup plus sûre.

Essayez le suivant 

 cmd.CommandText = "UPDATE database.table SET W=W+1 WHERE bowler = @bowler" command.Parameters.Add("@bowler", SqlDbType.NVarChar) command.Parameters("@bowler").Value = frmmain.lblbowler.Text