vb@rchiv
VB Classic
VB.NET
ADO.NET
VBA
C#
 Brandneu! sevEingabe v3.0 - Das Eingabecontrol der Superlative!  
 vb@rchiv Quick-Search: Suche startenErweiterte Suche starten   Impressum  | Datenschutz  | vb@rchiv CD Vol.6  | Shop Copyright ©2000-2024
 
zurück

 Sie sind aktuell nicht angemeldet.Funktionen: Einloggen  |  Neu registrieren  |  Suchen

ADO.NET / Datenbanken
Prepared Commands 
Autor: Troll
Datum: 14.05.12 10:43
Hallöchen, neue Woche neue Probleme

Da ich jetzt schon häufig gelesen habe, dass die Ansprache einer SQL-Datenbank mittels variabler Command-Strings unelegant und bisweilen unsicher ist (SQL Injection), wollte ich jetzt mal versuchen die variablen Teile durch SQL-Parameter zu ersetzen.

Ich bin nach folgender Anleitung vorgegangen: http://msdn.microsoft.com/en-us/library/system.data.sqlclient.sqlcommand.prepare.aspx 

        'SQL-Kommando-Klasse initialisieren und parametrieren
        Dim cmd As New SqlCommand()
        With cmd
            .CommandText = "SELECT * FROM @table"       'SQL String
            .Connection = conn                          'Zurordnung der 
            ' Verbindung
        End With
 
        'SQL-Adapter definieren
        Dim db_adapt As New SqlDataAdapter()
        With db_adapt 'SQL-String angeben 
            .SelectCommand = cmd 'SQL String
            .SelectCommand.Parameters.Add("@table", SqlDbType.VarChar, _
              50).Value = Tabelle 'SQL-Parameter definieren
        End With
 
        'Datenbankabfrage
        Try
            conn.Open()
            db_adapt.Fill(ds, Tabelle)
            db_adapt.Dispose()
        Catch
            label_status.Text = "Status: Fehler " & Err.Number & " - " & _
              Err.Description
        Finally
Funktionieren tut das Ganze nicht. Es wird grundsätzlich der "Fehler 5 - Die @table - Tabellenvariable muss deklariert werden" ausgegeben.

Ich habe auch schon in der MS SQL Management Umgebung die @table Variable mit "DECLARE @table Varchar(50)" vereinbart. Ohne Erfolg.
alle Nachrichten anzeigenGesamtübersicht  |  Zum Thema  |  Suchen

 ThemaViews  AutorDatum
Prepared Commands2.014Troll14.05.12 10:43
Re: Prepared Commands1.205Micke14.05.12 10:59
Re: Prepared Commands1.190Troll14.05.12 11:12
Re: Prepared Commands1.283ModeratorFZelle14.05.12 11:52
Re: Prepared Commands1.208Troll15.05.12 07:46
Re: Prepared Commands1.241ModeratorFZelle15.05.12 10:09
Re: Prepared Commands1.186Micke15.05.12 10:52
Re: Prepared Commands1.221ModeratorDaveS15.05.12 12:47
Re: Prepared Commands1.169Troll15.05.12 13:35
Re: Prepared Commands1.185Manfred X15.05.12 13:51
Re: Prepared Commands1.193ModeratorFZelle15.05.12 14:22
Re: Prepared Commands1.153Troll21.05.12 08:49
Re: Prepared Commands1.162ModeratorDaveS21.05.12 09:30

Sie sind nicht angemeldet!
Um auf diesen Beitrag zu antworten oder neue Beiträge schreiben zu können, müssen Sie sich zunächst anmelden.

Einloggen  |  Neu registrieren

Funktionen:  Zum Thema  |  GesamtübersichtSuchen 

nach obenzurück
  
   

Copyright ©2000-2024 vb@rchiv Dieter Otter
Alle Rechte vorbehalten.
Microsoft, Windows und Visual Basic sind entweder eingetragene Marken oder Marken der Microsoft Corporation in den USA und/oder anderen Ländern. Weitere auf dieser Homepage aufgeführten Produkt- und Firmennamen können geschützte Marken ihrer jeweiligen Inhaber sein.

Diese Seiten wurden optimiert für eine Bildschirmauflösung von mind. 1280x1024 Pixel