sql >> Databáze >  >> RDS >> Sqlserver

dynamicky vkládat více záznamů na jedno kliknutí na tlačítko

Pokud neznáte přesný počet subjektů, které je třeba zadat – jak to máme vygenerovat?

Abychom vám ukázali, že se chráníte před útoky SQL Injection, vložíte SQL do Stored Procs:

create PROCEDURE [dbo].[pr_GetAssignedSubjectsByFacultyIdAndSemester]
@FacultyID int,
@Semester nvarchar(MAX)
AS
BEGIN
SET NOCOUNT ON;
SELECT [Faculty], [Subjects],[CreatedBy],[CreatedDate],[ModifiedBy],[ModifiedDate]
 FROM [dbo].[tblNotSure]
WHERE [FacultyID] = @FacultyID
AND [Semester] = @Semester
AND [IsDeleted] = 0
END

Pak v kódu nazýváme uloženou proceduru, všimněte si parametrizovaných příkazů, což zabraňuje útokům SQL Injection. Řekněme například, že jsme zadali do semestrálního pole ddl/textbox (nebo pomocí FireBug upravili hodnotu prvků) 1 UNION SELECT * FROM Master.Users - spuštění tohoto ad-hoc SQL by mohlo vrátit seznam uživatelských účtů SQL, ale prošlo přes parametrizovaný příkaz předchází problému:

public static aClassCollection GetAssignedSubjectsByFacultyIdAndSemester(int facultyId, string semester)
{
var newClassCollection = new aClassCollection();
    using (var connection = new SqlConnection(ConfigurationManager.ConnectionStrings["sqlConn"].ConnectionString))
    {
        using (var command = new SqlCommand("pr_GetAssignedSubjectsByFacultyIdAndSemester", connection))
        {
            try
            {
                command.CommandType = CommandType.StoredProcedure;
                command.Parameters.AddWithValue("@facultyId", facultyId);
                command.Parameters.AddWithValue("@semester", semester);
                connection.Open();
                SqlDataReader dr = command.ExecuteReader();
                while (dr.Read())
                {
                    newClassCollection.Add(new Class(){vals = dr["vals"].ToString()});
                }
            }
            catch (SqlException sqlEx)
            {
             //at the very least log the error
            }
            finally
            {
             //This isn't needed as we're using the USING statement which is deterministic                    finalisation, but I put it here (in this answer) to explain the Using...
                connection.Close();
            }
        }
    }

    return newClassCollection;
}



  1. Jak zakázat innodb v mysql?

  2. duplicitní položky mysql a php

  3. Najděte referenční entity na serveru SQL:sys.dm_sql_referenced_entities

  4. Sloupec V závislosti na jiném sloupci