Er zijn 6 reacties in dit onderwerp

[Rock]

Hallo,


ik ben met vallen en opstaan bezig om een inventaris programmatje te maken.  ik heb een vrij omvangrijke database met allerlei items van verschillende leveranciers en verschillende merken.  Nu wil ik in een datagridview de items zijn van 1 leverancier of van 1 merk, ik heb het volgende geschreven :

Dim invoer As String
invoer = UCase(InputBox("Geef de leverancier in van wie je alle data wil zien."))

data_adapter = New SqlClient.SqlDataAdapter("Select * From tbl_Invent where Leverancier='invoer''", con)

dit werkt niet, als ik ipv invoer de naam van de leverancier in de select-opdracht typ bvb ERIKSON dan werkt het wel


data_adapter = New SqlClient.SqlDataAdapter("Select * From tbl_Invent where Leverancier='ERIKSON''", con)  

dit werkt dus wel

wat doe ik verkeerd ?

[Damic]

om je dat nu op het woord invoer zoekt en niet op de de tekst dat in invoer zit

data_adapter = New SqlClient.SqlDataAdapter("Select * From tbl_Invent where Leverancier='" & invoer& "'", con)

Maar dit is geen goed idee om het zo te doen want sql injectie is dan heel gemakkelijk.

[Rock]

Bedankt, dit werkt inderdaad.   Je zult wel gemerkt hebben dat ik een leek ben in het programmeren dus nu mijn bijkomende vraag : wat is een betere methode voor dergelijke zoekopdracht en wat is sql injectie en wat is het risico van sql injectie ?

[Damic]

https://nl.wikipedia...ki/SQL-injectie

Het gebruik van Parameters

Voorbeeld genomen van hier https://stackoverflo...ofing-textboxes
Visual Basic Code:

Dim con As New SqlConnection() 
Dim cmd As New SqlCommand()

Try
	con.ConnectionString = "Data Source=" & Server & ";Initial Catalog=" & Database & ";User ID=" & User & ";Password=" & Password & ";"
	con.Open()
	cmd.Connection = con
	cmd.CommandText = "INSERT INTO TB_User(STRUserID, password, Email) VALUES(@username, @password, @email)"
	cmd.Parameters.Add("@username", SqlDbType.VarChar, 50).Value = UsernameTextBox.Text
	cmd.Parameters.Add("@password", SqlDbType.Char, 32).Value = MD5Hash(PasswordTextBox.Text)
	cmd.Parameters.Add("@email", SqlDbType.VarChar, 50).Value = EmailTextBox.Text
	cmd.ExecuteNonQuery()
Catch ex As Exception
	MessageBox.Show("Error while inserting record on table..." & ex.Message, "Insert Records")
Finally
	con.Close()
End Try

[Rock]

dank u, ik het echter nog een ander probleem, ik probeer namelijk de som te maken van alle items in een kolom.  ik heb het volgende geprobeerd :

Dim strQ As String = String.Empty
strQ = "Select Merk, ArtikelOmschr, Prijs, Aantal, Totaal From tbl_Invent where  Aantal > 0"

Dim Alles As Decimal
Alles = "Select sum(Totaal) From tbl_Invent;"

dit werkt helemaal niet, en als ik "Alles" als string definieer werkt het natuurlijk ook niet want dan krijg ik uiteraard de tekst "Select ........"

de uitkomst met wel een decimaal getal zijn

lblAlles.Text = "Totaal : " & Alles & " euro."

[Damic]

Wat zit er in die totaal? En in een db is het niet de bedoeling dat je totalen bijhoud want een totaal kan afhangen van de btw/kortingen enzo

In principe zou die sum() moeten werken.

[Rock]

die totaal bevat de prijs x het aantal