数据列表控制;t绑定
本文关键字:绑定 控制 列表 数据 | 更新日期: 2023-09-27 18:09:30
我必须根据以find-frined形式插入的值绑定datalist control
。这是我的代码:
protected void search_Click(object sender, EventArgs e)
{
SqlConnection cn = new SqlConnection(@"Data Source=.'SQLEXPRESS;AttachDbFilename=C:'Users'Mahi'Documents'Visual Studio 2010'Projects'fc 6-4'fc'App_Data'fc.mdf;Integrated Security=True;User Instance=True");
cn.Open();
string str = "select unm='" + funm_txt.Text + "' , university='" + DDLuni.SelectedItem + "', city='"+ DDLcity .SelectedItem +"' , yjoin='" + DDLyjoin.SelectedValue + "' ,yleave= '" + DDLycom.SelectedValue + "', ybatch='" + DDLbtch.SelectedValue + "' from profile";
SqlCommand cmd = new SqlCommand(str, cn);
cmd.ExecuteNonQuery();
SqlDataAdapter da = new SqlDataAdapter(str, cn);
DataTable dt = new DataTable();
DataList1 .DataSource =dt;
DataList1.DataBind();
cn.Close();
}
我注意到了一些事情:
-首先,当您将用户输入的值直接传递到数据库中时,您是高度vulnerable to sql-injection attacks
。您可以avoid this by using a parameterised query
。
-其次,您需要过滤WHERE
子句中的记录。目前,您正在将用户键入/选择的值分配到选择查询中。
-您需要使用下拉列表的SelectedValue
,而不是SelectedItem
-此外,您还可以使用using()
块在末尾获得SqlConnection and DataAdapter Disposed
。
试试这个(请根据需要替换col1、col2,并完成分配所有参数的查询(:
DataTable dt = new DataTable();
using (SqlConnection cnn = new SqlConnection("your_conn_string"))
{
string str = "Select Col1, Col2,... From profile " +
"Where unm = @unm and university= @uni and " +
"..." +
"ybatch = @ybatch";
SqlCommand cmd = new SqlCommand(str, cnn);
cmd.Parameters.AddWithValue("@unm",funm_txt.Text);
cmd.Parameters.AddWithValue("@uni",DDLuni.SelectedValue);
...
cmd.Parameters.AddWithValue("@ybatch",DDLbtch.SelectedValue);
using (SqlDataAdapter adapter = new SqlDataAdapter())
{
adapter.SelectCommand = cmd;
cnn.Open();
adapter.Fill(dt);
}
}
DataList1.DataSource =dt;
DataList1.DataBind();
试试这个,
cn.Open();
string str = "select unm='" + funm_txt.Text + "' , university='" + DDLuni.SelectedItem + "', city='"+ DDLcity .SelectedItem +"' , yjoin='" + DDLyjoin.SelectedValue + "' ,yleave= '" + DDLycom.SelectedValue + "', ybatch='" + DDLbtch.SelectedValue + "' from profile";
SqlDataAdapter da = new SqlDataAdapter(str, cn);
DataTable dt = new DataTable();
da.fill(dt);
DataList1 .DataSource =dt;
DataList1.DataBind();
cn.Close();
添加以下代码:
您的SqlDataAdapter
和SqlCommand
没有通信。
并且您还没有用结果填充Datatable
。
da.SelectCommand = cmd;
da.fill(dt);