Я хочу получить данные из textBox используя переменную в sql запросе, можно конечно через переменную используюя прямо ее в запросе, например,
Код:
- Код: Выделить всё
select * from sdvUsers where login='"+@Login+"'
но это не безопасно, если кто-то пропишет DROP TABLE или еще что-то
я хочу сделать через SqlParameter, но что-то не получается...подскажите, что я делаю не правильно, сам смысл ?
вот как я делаю:
у меня есть textBox
Код:
- Код: Выделить всё
string txtL = txtLogin.Text;
1.создаю соединение
Код:
- Код: Выделить всё
string connStr = "Data Source=SOKOL;Initial Catalog=MyBase;Integrated Security=True";
SqlConnection mySqlConn = new SqlConnection(connStr);
2. открываю соединение
Код:
mySqlConn.Open();
3. Создаю параметр, котрый я буду использовать в запросе с помощью SqlCommand
Код:
- Код: Выделить всё
SqlCommand myCommandParam = new SqlCommand(sqlStr, mySqlConn);
SqlParameter myParamLogin = new SqlParameter("@Login", SqlDbType.VarChar, 15);
myParamLogin.Value = txtL;
myCommandParam.Parameters.Add(myParamLogin);
SqlCommand myCom = new SqlCommand("select * from sdvUsers where login=@Login", mySqlConn);
6. И выполняю запрос....---вот здесь я может и не правильно делаю...я же хочу полчить после выполнения запроса, его результат записать в переменную, а как это сделать ?
Код:
- Код: Выделить всё
myCommandParam.ExecuteNonQuery();
что может я не правильно сделал или недоделал, я сам уже не могу, запутался...вроде все правильно делаю...?
просто на вход задал не правильный параметр... 