c#textbox从sql表自动完成

时间:2015-10-23 18:34:16

标签: c# sql textbox

我需要在combobox1中搜索表格,用户将在autoCompleteTextbox1中输入文字,可以是itemcodeitemname

但我得错误说:

  

附加信息:变量名称'@name'已经存在   声明。变量名在查询批处理或存储过程中必须是唯一的。

if (cn.State == ConnectionState.Closed)
        {
            cn.Open();
        }
        cm.Connection = cn;
        if (autoCompleteTextbox1.Text == "")
        {
        }
        else
        {
            AutoCompleteStringCollection namecollection = new AutoCompleteStringCollection();
            string searchFor = "%" + autoCompleteTextbox1.Text + "%"; //the string the user entered.
            string tableName = comboBox1.Text;
            cm.CommandText = @"SELECT  distinct(itmcode+''+itmname) AS name FROM " + tableName + " WHERE itmcode Like @name OR itmname LIKE @name";

            cm.Parameters.AddWithValue("@name", searchFor);
            SqlDataReader rea = cm.ExecuteReader();
            if (rea.HasRows == true)
            {
                while (rea.Read())
                    namecollection.Add(rea["name"].ToString());
            }
            rea.Close();

            autoCompleteTextbox1.AutoCompleteMode = AutoCompleteMode.Suggest;
            autoCompleteTextbox1.AutoCompleteSource = AutoCompleteSource.CustomSource;
            autoCompleteTextbox1.AutoCompleteCustomSource = namecollection;

我的代码中的错误是什么以及如何修复它plz

2 个答案:

答案 0 :(得分:1)

cm变量代表一个命令。

由于cm.Parameters.AddWithValue("@name", searchFor);因错误The variable name '@name' has already been declared.失败,您可以得出结论cm变量比这段代码更长寿。

你可以

1)每次重新初始化命令(大多数人都这样做)。   例如

     cm = new SqlCommand(); //Assumes sql server
     cm.Connection = cn;

2)检查cmd.Parameters以查找@name参数,然后添加它是否不存在然后进行设置。 

if (!(cmd.Parameters.Contains("@name")
{
     cmd.Paramters.Add("@name",SqlDbType.Varchar)
}

cmd.Paramters["@name"].Value = serachFor;

使用FROM " + tableName + " WHERE.

进行SQL注入的注意事项

comboBox1.Text填充tableName。如果它是用户可以更改的字符串(例如网页),则它只是一个危险的字符串。如果它是WPF或Window Forms应用程序,那么它并不危险。*

如果comboBox1.Text来自网页,那么您可以做的最好的事情就是使用白名单来验证字符串是否已被更改,如果它没有返回任何结果。例如

if (!ValidTableNames.Contains(tableName)) 
    return;

自从您使用它填充组合框后,您已经拥有了白名单,这真是太好了。

*从技术上讲,他们可以使用调试工具更改值,但此时他们只能直接更改命令文本。

答案 1 :(得分:0)

替换

string searchFor = "%" + autoCompleteTextbox1.Text + "%"; //the string the user entered.
            string tableName = comboBox1.Text;
            cm.CommandText = @"SELECT  distinct(itmcode+''+itmname) AS name FROM " + tableName + " WHERE itmcode Like @name OR itmname LIKE @name";

            cm.Parameters.AddWithValue("@name", searchFor);

whith 

string searchFor = "%" + autoCompleteTextbox1.Text + "%";
string tableName = comboBox1.Text;
cm.CommandText = @"SELECT  distinct(itmcode+''+itmname) AS name FROM " + tableName + " WHERE itmcode Like '" + searchFor + "' OR itmname LIKE '" + searchFor + "'";
相关问题
最新问题