Datetimepicker不能与SQL参数一起工作,而是像SQL注入一样直接工作

本文关键字:SQL 工作 一样 注入 参数 不能 一起 Datetimepicker | 更新日期: 2023-09-27 18:15:21

string sqlconf = ConfigurationManager.ConnectionStrings["sqlconstr"].ConnectionString;
string pathconf = ConfigurationManager.AppSettings["expath"].ToString();
string sql = "select userid,logdate from Devicelogs_1_2015 where convert(varchar(10),LogDate,103) between '@fdate' and '@tdate';";
StreamWriter sw = new StreamWriter(pathconf);
SqlConnection sqlcon = new SqlConnection(sqlconf);
SqlCommand sqlcom = new SqlCommand(sql, sqlcon);
sqlcom.Parameters.Add("@fdate", SqlDbType.VarChar).Value = dateTimePicker1.Value.ToString("dd/MM/yyyy");
sqlcom.Parameters.Add("@tdate", SqlDbType.VarChar).Value = dateTimePicker2.Value.ToString("dd/MM/yyyy");
sqlcon.Open();
using (sqlcon)
{
    using (SqlDataReader sqldr = sqlcom.ExecuteReader())
    {
        while (sqldr.Read())
        {
            string userid1 = sqldr.GetString(0);
            DateTime logdate1 = sqldr.GetDateTime(1);
            sw.WriteLine("{0},{1}", userid1, logdate1.ToString("yyyy-MM-dd HH:mm:ss"));
        }
        sw.Close();
        sqldr.Close();
    }
    sqlcon.Close();
    MessageBox.Show("File Exported Successfully");
    Close();
}

Datetimepicker不能与SQL参数一起工作,而是像SQL注入一样直接工作

我不确定你到底在问什么,但我确实看到了这些错误。

  1. 你应该在你的参数化查询中使用本机类型,而不是将所有内容转换为字符串。
  2. 如果您使用字符串,请不要将sql中的参数括在引号/tick中。然而,因为这些实际上是日期或日期时间类型,你甚至不应该传递字符串作为开始。
  3. 在创建一次性对象时使用block包装它们

我修改了代码,但只包括更改的部分。

string sql = "select userid,logdate from Devicelogs_1_2015 where LogDate between @fdate and @tdate";
using(SqlConnection sqlcon = new SqlConnection(sqlconf))
using(SqlCommand sqlcom = new SqlCommand(sql, sqlcon))
{
    sqlcom.Parameters.Add("@fdate", SqlDbType.Date).Value = dateTimePicker1.Value.Date;
    sqlcom.Parameters.Add("@tdate", SqlDbType.Date).Value = dateTimePicker2.Value.Date;
    sqlcon.open();
    // rest of the code that executes the query etc.
}

请注意,如果LogDate是包含时间的类型,而您想忽略它,则可以将其强制转换为Date

where cast(LogDate as date) between @fdate and @tdate

当您编写与参数一起使用的查询时,您不需要引用字符串。

string sql = "select userid,logdate from Devicelogs_1_2015 where convert(varchar(10),LogDate,103) between '@fdate' and '@tdate';";

应该成为:

string sql = "select userid,logdate from Devicelogs_1_2015 where convert(varchar(10),LogDate,103) between @fdate and @tdate;";

这应该能解决你的问题

相关文章: