https://www.dotnetzone.gr:443/cs/forums/78/ShowForum.aspxΘέματα σχετικά με την προσπέλαση δεδομένων μέσω του ADO.NET και του System.Data namespaceelCommunityServer 2.1 SP3 (Build: 20423.1)https://www.dotnetzone.gr:443/cs/forums/thread/8720.aspxMon, 16 Jan 2006 21:25:55 GMT2622095e-976c-431a-859e-16783ec7ecd7:8720thoidis0https://www.dotnetzone.gr:443/cs/forums/thread/8720.aspxhttps://www.dotnetzone.gr:443/cs/forums/commentrss.aspx?SectionID=78&PostID=8720Ευχαριστώ πολύ για τη βοήθεια. <br>Έχεις απόλυτα δίκαιο και θα χρησιμοποιήσω παραμέτρους... απλά ο κώδικας που έστειλα ήταν αντιγραφή-επικόλληση από το msn tutorial και είχα κολλήσει στην τιμή του πεδίου που δεν μπορούσα να βρω εντολή για να την προσπελάσω. <br> <br>Καμία πρόταση για βιβλίο (έχω παραγγείλει το "Beginning ASP.NET 2.0 Databases Beta Preview") ?https://www.dotnetzone.gr:443/cs/forums/thread/8719.aspxMon, 16 Jan 2006 21:10:29 GMT2622095e-976c-431a-859e-16783ec7ecd7:8719Νατάσα Μανουσοπούλου0https://www.dotnetzone.gr:443/cs/forums/thread/8719.aspxhttps://www.dotnetzone.gr:443/cs/forums/commentrss.aspx?SectionID=78&PostID=8719<P>Παίρνεις την τιμή ενός πεδίου με:</P> <P><span style="color: Black;background-color: Transparent;font-family: Lucida Console;font-size: 11px;font-weight: normal;"> <br /><br />ds.Tables[0].Rows[0][<span style="color: #666666;background-color: Transparent;font-family: Lucida Console;font-size: 11px;font-weight: normal;">"userId"</span>]</span></P> <P>Μερικά σχόλια στον κώδικά σου, ιδιαίτερα επειδή κάνει user authentication:</P> <P>Αποτελεί μεγάλο security hole να εισάγεις απευθείας το user id που έχει εισάγει ο χρήστης μέσα στην sql. Αν π.χ. ο χρήστης εισάγει για user id το </P> <P>'; TRUNCATE TABLE Users; select '</P> <P>Τότε τελικό query θα είναι</P> <P>Select * From [Users] Where userId=''; TRUNCATE TABLE Users; select ''</P> <P>το οποίο θα κάνει κάτι πολύ κακό :-)</P> <P>Είναι προτιμότερο να βάλεις το user id σαν named parameter ως εξής:</P> <P><span style="color: Black;background-color: Transparent;font-family: Lucida Console;font-size: 11px;font-weight: normal;"> <br /><br /><span style="color: Blue;background-color: Transparent;font-family: Lucida Console;font-size: 11px;font-weight: normal;">string</span> strSQL <span style="color: Red;background-color: Transparent;font-family: Lucida Console;font-size: 11px;font-weight: normal;">=</span> <span style="color: #666666;background-color: Transparent;font-family: Lucida Console;font-size: 11px;font-weight: normal;">"SELECT @ FROM Users WHERE UserID=@UserID"</span>;<br /><br />System.Data.SqlClient.SqlDataAdapter da <span style="color: Red;background-color: Transparent;font-family: Lucida Console;font-size: 11px;font-weight: normal;">=</span> <span style="color: Blue;background-color: Transparent;font-family: Lucida Console;font-size: 11px;font-weight: normal;">new</span> System.Data.SqlClient.SqlDataAdapter(strSQL, connection);<br /><br />da.SelectCommand.Parameters.Add(<span style="color: #666666;background-color: Transparent;font-family: Lucida Console;font-size: 11px;font-weight: normal;">"@UserID"</span>, strUserID);</span></P> <P>Επίσης, είναι προτιμότερο να στέλνεις το password στη βάση σαν παράμετρο με ένα statement του τύπου:</P> <P>SELECT @ FROM Users WHERE UserID=@UserID AND Password=@Password</P> <P>Γιατί αλλιώς ένας "πονηρός" χρήστης με τη βοήθεια του debugger μπορεί να υποκλέψει passwords (αν τα αποθηκεύεις σε plain text, κάτι που επίσης είναι κακό).</P> <P>&nbsp;</P>https://www.dotnetzone.gr:443/cs/forums/thread/8717.aspxMon, 16 Jan 2006 20:47:19 GMT2622095e-976c-431a-859e-16783ec7ecd7:8717thoidis0https://www.dotnetzone.gr:443/cs/forums/thread/8717.aspxhttps://www.dotnetzone.gr:443/cs/forums/commentrss.aspx?SectionID=78&PostID=8717<P><FONT color=#ff0000>Έχω τον εξής κώδικα για να ζητήσω δεδομένα από τον πίνακα χρηστών όταν πατηθεί το πλήκτρο ΟΚ...</FONT></P><FONT size=2> <P></FONT><FONT color=#0000ff size=2>Protected</FONT><FONT size=2> </FONT><FONT color=#0000ff size=2>Sub</FONT><FONT size=2> Button1_Click(</FONT><FONT color=#0000ff size=2>ByVal</FONT><FONT size=2> sender </FONT><FONT color=#0000ff size=2>As</FONT><FONT size=2> </FONT><FONT color=#0000ff size=2>Object</FONT><FONT size=2>, </FONT><FONT color=#0000ff size=2>ByVal</FONT><FONT size=2> e </FONT><FONT color=#0000ff size=2>As</FONT><FONT size=2> System.EventArgs)</P> <P></FONT><FONT color=#008000 size=2>' Retrieve the connection string stored in the Web.config file.</P></FONT><FONT size=2> <P></FONT><FONT color=#0000ff size=2>Dim</FONT><FONT size=2> connectionString </FONT><FONT color=#0000ff size=2>As</FONT><FONT size=2> </FONT><FONT color=#0000ff size=2>String</FONT><FONT size=2> = ConfigurationManager.ConnectionStrings(</FONT><FONT color=#800000 size=2>"MegaConnectionString"</FONT><FONT size=2>).ConnectionString</P> <P></P> <P></FONT><FONT color=#0000ff size=2>Dim</FONT><FONT size=2> ds </FONT><FONT color=#0000ff size=2>As</FONT><FONT size=2> </FONT><FONT color=#0000ff size=2>New</FONT><FONT size=2> DataSet()</P> <P></FONT><FONT color=#0000ff size=2>Dim</FONT><FONT size=2> queryString </FONT><FONT color=#0000ff size=2>As</FONT><FONT size=2> </FONT><FONT color=#0000ff size=2>String</FONT><FONT size=2> = </FONT><FONT color=#800000 size=2>"Select * From [Users] Where userId='"</FONT><FONT size=2> &amp; xrhsths.Text &amp; </FONT><FONT color=#800000 size=2>"'"</P></FONT><FONT size=2> <P></P> <P></FONT><FONT color=#0000ff size=2>Try</P></FONT><FONT size=2> <P></FONT><FONT color=#008000 size=2>' Connect to the database and run the query.</P></FONT><FONT size=2> <P></FONT><FONT color=#0000ff size=2>Dim</FONT><FONT size=2> connection </FONT><FONT color=#0000ff size=2>As</FONT><FONT size=2> </FONT><FONT color=#0000ff size=2>New</FONT><FONT size=2> SqlConnection(connectionString)</P> <P></FONT><FONT color=#0000ff size=2>Dim</FONT><FONT size=2> adapter </FONT><FONT color=#0000ff size=2>As</FONT><FONT size=2> </FONT><FONT color=#0000ff size=2>New</FONT><FONT size=2> SqlDataAdapter(queryString, connection)</P> <P></P> <P></FONT><FONT color=#008000 size=2>' Fill the DataSet.</P></FONT><FONT size=2> <P>adapter.Fill(ds)</P> <P></FONT><FONT color=#0000ff size=2>Catch</FONT><FONT size=2> ex </FONT><FONT color=#0000ff size=2>As</FONT><FONT size=2> Exception</P> <P></FONT><FONT color=#008000 size=2>' The connection failed. Display an error message.</P></FONT><FONT size=2> <P>Message.Text = </FONT><FONT color=#800000 size=2>"Unable to connect to the database."</P></FONT><FONT size=2> <P></FONT><FONT color=#0000ff size=2>End</FONT><FONT size=2> </FONT><FONT color=#0000ff size=2>Try</FONT></P> <P><FONT color=#0000ff size=2>.....</FONT></P> <P><FONT color=#ff0000 size=2>Μπορεί κάποιος να μου πει πώς θα αναφερθώ στο πεδίο userId των δεδομένων που ήρθαν με την SQL που εκτελέσθηκε ώστε να το συγκρίνω με κάποια τιμή...</FONT></P> <P><FONT color=#ff0000><FONT size=2>&nbsp;</P></FONT></FONT>