我正在尝试在我的应用程序中创建一个搜索框,为此我需要修改SqlDataSource.SelectCommand。我将不胜感激任何帮助!
对于测试,我这样做,它可以工作,但它很容易被sql注入
SqlDataSource1.SelectCommand = "sp_offer_search '" + txtSearch.Text + "', " + Session["customerId"] + " , '" + "Pending"+ "'";
GridView1.DataBind();
这是我到目前为止所尝试的但它不起作用:
if (txtSearch.Text != "")
{
//open connection
oCn.Open();
SqlCommand com = new SqlCommand(query, oCn);
com.CommandType = CommandType.StoredProcedure;
com.Parameters.AddWithValue("@Variable", txtSearch.Text);
com.Parameters.AddWithValue("@CustomerId",Session["customerId"]);
com.Parameters.AddWithValue("@Status", txtStatus.Text);
DataTable dt = new DataTable();
dt.Load(com.ExecuteReader());
SqlDataSource1.SelectCommand = dt.ToString();
GridView1.DataBind();
}
答案 0 :(得分:0)
解决了!这是我尝试过的,它的工作原理。我希望这对某人有帮助。
if (txtSearch.Text != "")
{
try
{
// open connection
oCn.Open();
SqlDataAdapter da = new SqlDataAdapter("sp_offer_search", oCn);
da.SelectCommand.CommandType = CommandType.StoredProcedure;
da.SelectCommand.Parameters.Add("@Variable", SqlDbType.VarChar).Value = txtSearch.Text;
da.SelectCommand.Parameters.Add("@CustomerId", SqlDbType.Int).Value = Session["customerId"];
da.SelectCommand.Parameters.Add("@Status", SqlDbType.VarChar).Value = "Pending";
DataTable dt = new DataTable();
da.Fill(dt);
GridView1.DataSourceID = String.Empty;
GridView1.DataSource = dt;
GridView1.DataBind();
}
catch(Exception ex)
{
Response.Write(ex.ToString());
}
finally
{
oCn.Close();
}
}
else
{
GridView1.DataSourceID = "SqlDataSource1";
SqlDataSource1.SelectCommand = SqlDataSource1.SelectCommand;
GridView1.DataBind();
}