Toon posts:

C# Query met variabelen.

Pagina: 1
Acties:

zondag 14 december 2008 16:23

Acties:
  • 0 Henk 'm!
  • jostefa
  • Registratie: Januari 2006
  • Laatst online: 25-09 22:04

jostefa

Topicstarter
Hallo,

Ik heb een query en daar wil ik een variabelen in hebben maar vind nergens hoe het werk (internet, programmeer boek) de query zit er zo uit: string sql = "select player_id from players where playername = 'username' order by playername"; nu wil ik van 'username' een variabelen maken die hij uit een textbox haalt namelijk txtPlayerName.

ik dacht zelf dat hij zo zou moeten werken :
string sql = "select player_id from players where playername = "txtPlayerName.Text.ToString();" order by playername";

maar werkt dus niet.

Hoop dat iemand de exacte notering weet.

alvast bedankt!

zondag 14 december 2008 16:27

Acties:
  • 0 Henk 'm!
  • Rigi
  • Registratie: September 2001
  • Laatst online: 30-11-2018

Rigi

had je het al zo geprobeerd:
string sql = "select player_id from players where playername = "+txtPlayerName.Text.ToString()+" order by playername";

oftewel, wat is 'dat werkt niet'? Krijg je compile errors? of?

zondag 14 december 2008 16:36

Acties:
  • 0 Henk 'm!
  • jostefa
  • Registratie: Januari 2006
  • Laatst online: 25-09 22:04

jostefa

Topicstarter
string sql = "select player_id from players where playername = '" + txtPlayerName.Text.ToString() + "' order by playername";

zo werkt hij wel met nog extra ' ' bij thx :)

zondag 14 december 2008 16:58

Acties:
  • 0 Henk 'm!
  • Paul
  • Registratie: September 2000
  • Laatst online: 08:51

Paul

Je hebt nu 2 dingen: sting concatenatie (aan elkaar plakken) en de tekst in je where tussen quotes zetten zoals SQL dat graag ziet.

Je moet dus wel zorgen dat beide sets aanwezig zijn en op de goede plaats staan.

Op deze manier zet je echter de input van de gebruiker rechtstreeks in je query. Zou je gebruiker nu als naam iets als
code:
1

blaat'; drop table players;
in vullen, ben je je tabel kwijt.
Je kunt het beter meteen goed aanleren en parameterized queries gebruiken :)

"Your life is yours alone. Rise up and live it." - Richard Rahl
Rhàshan - Aditu Sunlock

zondag 14 december 2008 17:39

Acties:
  • 0 Henk 'm!
  • Razr
  • Registratie: September 2005
  • Niet online

Razr

Zoals hierboven al wordt aangegeven is het verstandig om je eens te verdiepen in parameterized queries. Het is overzichtelijker en vooral veilliger. Aangezien je geen risico meer loopt op SQL injection (correct me if i'm wrong).

Voorbeeld in jou context:
C#:
1
2
3

SqlCommand cmd = new SqlCommand("select player_id from players where playername = @username order by playername;", conn);
cmd.Parameters.AddWithValue("@username", txtPlayerName.Text);
//uitvoeren

zondag 14 december 2008 19:47

Acties:
  • 0 Henk 'm!
  • whoami
  • Registratie: December 2000
  • Laatst online: 10:55

whoami

der staat in de FAQ zelfs een heel artikel over ....

https://fgheysels.github.io/

Pagina: 1
Reageer

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq