другой запрос SQL

Question

хорошо, спасибо всем, кто мне помогает, но теперь у меня есть еще одна проблема, я хочу, чтобы это утверждение также было правильным

if (byNametextBox.Text != null && byBuildingtextBox.Text !=null && seTextBoxPublic1.Text == null)
{
    da = new SqlDataAdapter("SELECT * FROM Students WHERE name='" +     byNametextBox.Text +"and [buil-id]='"+byBuildingtextBox.Text+ "'", MyConn);

}

я хочу выбрать из той же таблицы с двумя условиями пожалуйста * * 1004

Answer 1

Пожалуйста, используйте параметры! Если по какой-то причине вы против них, это должно сработать:

string strStatement = String.Format("SELECT * FROM Students WHERE [name] = '{0}' AND [buil-id] = '{1}'", byNametextBox.Text, byBuildingtextBox.Text);
da = new SqlDataAdapter(strStatement, MyConn);

Answer 2

Полагаю, вам следует создать SqlCommand с 2 параметрами. Размещенный здесь код небезопасен для атак с использованием SQL-инъекций.

Пожалуйста, следуйте:

http://msdn.microsoft.com/en-us/library/ms161953.aspx

Answer 3

Однако, чтобы ответить на ваш вопрос, ваш код создает SQL:

SELECT * FROM Students WHERE name='NAMEand [buil-id]='ID'

должно быть

SELECT * FROM Students WHERE name='NAME' and [buil-id]='ID'

Answer 4

Лучше для безопасности, если вы используете параметры в своем запросе SQL.

Answer 5

Используйте parameterized запрос, чтобы предотвратить внедрение SQL, также здесь приведены некоторые дополнительные коды, если вы хотите заполнить датируемыми.

SqlDataAdapter da = new SqlDataAdapter("SELECT * FROM Students WHERE name = @byName and [buil-id]= @byBuilding " , MyConn)
                           DataTable dt= new DataTable();
                            da.SelectCommand.Parameters.AddWithValue("@byName", byNametextBox.Text); 
                            da.SelectCommand.Parameters.AddWithValue("@byBuilding", byBuildingtextBox.Text);
                           da.Fill(dt);