Как правильно выполнить команду SELECT и присвоить значение переменным

@Vlad11 · Регистрация: 12.05.2014

Author24 — интернет-сервис помощи студентам

Всем самые наилучшие пожелания в Новом Году!

Подскажите пожалуйста в чем грабли:

VB.NET

        'Выбираю значение из табл. Принтер
        Dim Connect1 As New OleDb.OleDbConnection("Provider=Microsoft.Jet.OLEDB.4.0;Data Source=" & Path)
        zSQL1 = String.Format("SELECT PrintNum, PrintBrand FROM Printer WHERE KatrNum={0}", zKNum)
        Dim Command1 As New OleDb.OleDbCommand(zSQL1, Connect1)
        Connect1.Open()
        Dim dReader As OleDb.OleDbDataReader
        dReader = Command1.ExecuteReader(CommandBehavior.CloseConnection)
        While dReader.Read
            zPNum = dReader.GetValue(0)
            zBrand = dReader.GetValue(1)
        End While
        'Добавляю данные в таблицу Заявка
        Dim Connect As New OleDb.OleDbConnection("Provider=Microsoft.Jet.OLEDB.4.0;Data Source=" & Path)
        zSQL = "INSERT INTO Zajavka(Data, KatrNum, PrintNum, PrintBrand, Kol_Str, Zapravka, Remont) VALUES(@p1, @p2, @p3, @p4, @p5, @p6, @p7)"
        Dim Command As New OleDb.OleDbCommand(zSQL, Connect)
        Command.Parameters.Add("@p1", OleDb.OleDbType.Date, 0).Value = zData
        Command.Parameters.Add("@p2", OleDb.OleDbType.BSTR, 0).Value = zKNum
        Command.Parameters.Add("@p3", OleDb.OleDbType.BSTR, 0).Value = zPNum
        Command.Parameters.Add("@p4", OleDb.OleDbType.BSTR, 0).Value = zBrand
        Command.Parameters.Add("@p5", OleDb.OleDbType.BSTR, 0).Value = zKolStr
        Command.Parameters.Add("@p6", OleDb.OleDbType.BSTR, 0).Value = zZapravka
        Command.Parameters.Add("@p7", OleDb.OleDbType.BSTR, 0).Value = zRemont
        Connect.Open()
        Command.ExecuteNonQuery()
        Connect.Close()
        Close()

все работает кроме присвоения значений переменным zPNum и zBrand, если изначально присвоить им значение,
то оно так и останется не измененным.

@Монфрид · 12.01.2015, 17:00

Сообщение от Vlad11

останется не измененным.

ну поставьте брейкпоинт в While, может, там данных нет

@Qwertiy · 12.01.2015, 18:48

1. В первой команде делай тоже параметры, а не String.Format.
2. Для output-параметров надо сохранять переменную с самим параметром и после выполнения читать из неё Value.
3. Используй Using.

@Vlad11 · 14.01.2015, 12:25 **[ТС]**

Qwertiy,
К сожалению, тема еще актуальна, если не сложно покажите в коде.

@Монфрид · 14.01.2015, 13:22

используйте параметры http://msdn.microsoft.com/ru-r... .110).aspx

@Vlad11 · 14.01.2015, 13:41 **[ТС]**

Сообщение от Монфрид

используйте параметры http://msdn.microsoft.com/ru-r... .110).aspx

не понимаю зачем

Не по теме:

не умничай, лучше пальцем покажи

@Qwertiy · 14.01.2015, 21:53

Сообщение от Vlad11

лучше пальцем покажи

Я уже показал.

@Vlad11 · 15.01.2015, 09:11 **[ТС]**

Сообщение от Qwertiy

Я уже показал.

Верно, показал, но для понимающих, исправь этот блок:

VB.NET

        zSQL1 = String.Format("SELECT PrintNum, PrintBrand FROM Printer WHERE KatrNum={0}", zKNum)
        Dim Command1 As New OleDb.OleDbCommand(zSQL1, Connect1)
        Connect1.Open()
        Dim dReader As OleDb.OleDbDataReader
        dReader = Command1.ExecuteReader(CommandBehavior.CloseConnection)
        While dReader.Read
            zPNum = dReader.GetValue(0)
            zBrand = dReader.GetValue(1)
        End While

пожалуйста, как ты его себе представляешь

@dimsaratov · 16.01.2015, 20:01

VB.NET

Dim SQL1 As New OleDb.OleDbCommand("SELECT PrintNum FROM Printer WHERE KatrNum=0", Connect1)
Dim SQL2 As New OleDb.OleDbCommand("SELECT PrintBrand FROM Printer WHERE KatrNum=0", Connect1)
Connect1.Open()
zPNum = SQL1.ExecuteScalar()
zBrand = SQL2.ExecuteScalar()
Connect1.Close

@Vlad11 · 17.01.2015, 10:20 **[ТС]**

dimsaratov,

Выдает ошибку: "Дополнительные сведения: Несоответствие типов данных в выражении условия отбора."
строка 4 и 5

Добавлено через 34 минуты
"ExecuteScalar" не является членом "String"

MSDN пишет:
OleDbCommand.ExecuteScalar
Возвращаемое значение
Тип: System.Object
Первый столбец первой строки набора результатов или пустая ссылка, если набор результатов пуст.

@dimsaratov · 17.01.2015, 20:22

VB.NET

1
2
3

Dim SQL1 As New OleDb.OleDbCommand
Dim zPNum As Object ' или формат значения PrintNum в базе данных
zPNum = SQL1.ExecuteScalar()

Проверь еще условие отбора после WHERE на правильность формата

@Qwertiy · 19.01.2015, 00:21

Сообщение от Vlad11

Выдает ошибку: "Дополнительные сведения: Несоответствие типов данных в выражении условия отбора."
строка 4 и 5

И почему число присваивается строковой переменной?

@dimsaratov · 19.01.2015, 08:07

А я знаю???

Наверно надо так:

VB.NET

1	Dim SQL1 As New OleDb.OleDbCommand("SELECT PrintNum FROM Printer WHERE KatrNum='" & zkNum & "'" , Connect1)

@Vlad11 · 19.01.2015, 09:58 **[ТС]**

dimsaratov,

Уф... Вот это оно:

VB.NET

        Dim Connect1 As New OleDb.OleDbConnection("Provider=Microsoft.Jet.OLEDB.4.0;Data Source=" & Path)
        MsgBox(zKNum)
        Dim SQL1 As New OleDb.OleDbCommand("SELECT PrintNum FROM Printer WHERE KatrNum='" & zKNum & "'", Connect1)
        Dim SQL2 As New OleDb.OleDbCommand("SELECT PrintBrand FROM Printer WHERE KatrNum='" & zKNum & "'", Connect1)
        Connect1.Open()
        zPNum = SQL1.ExecuteScalar()
        zBrand = SQL2.ExecuteScalar()
        Connect1.Close()

Огромное СПАСИБО!

@Замабувараев · 22.01.2015, 21:30

Это огромная дыра в безопасности. Если zKNum будет чему-то вроде 'UNION SELECT 1,username,password,1 FROM admin'. А если там будет DELETE, то вся ваша база данных полетит к чертям.

@Vlad11 · 23.01.2015, 09:44 **[ТС]**

Сообщение от Замабувараев

Это огромная дыра в безопасности. Если zKNum будет чему-то вроде 'UNION SELECT 1,username,password,1 FROM admin'. А если там будет DELETE, то вся ваша база данных полетит к чертям.

Из Советской классики: "Переведи!"

zKNum- переменная в которой содержится значение, и команда SELECT ищет в таблице данные, отвечающие этому значению, и насколько я понимаю пусть будет там DELETE, SELECT не найдет такой записи.
Или я кой чего не понимаю?

@Qwertiy · 23.01.2015, 16:31

Сообщение от Vlad11

Или я кой чего не понимаю?

SQL Injection

@Vlad11 · 26.01.2015, 12:02 **[ТС]**

Qwertiy,

Не по теме:

Жуть, даже представить себе такое не мог. Спасибо за информацию.

Как правильно выполнить команду SELECT и присвоить значение переменным

Решение

Решение

@Монфрид 1245 / 1055 / 293 Регистрация: 07.03.2012 Сообщений: 3,245
	12.01.2015, 17:00	2
	Сообщение от Vlad11 останется не измененным. ну поставьте брейкпоинт в While, может, там данных нет 0

@Qwertiy 833 / 641 / 101 Регистрация: 20.08.2013 Сообщений: 2,524
	12.01.2015, 18:48	3
	1. В первой команде делай тоже параметры, а не String.Format. 2. Для output-параметров надо сохранять переменную с самим параметром и после выполнения читать из неё Value. 3. Используй Using. 0

@Vlad11 10 / 10 / 2 Регистрация: 12.05.2014 Сообщений: 229
	14.01.2015, 12:25 [ТС]	4
	Qwertiy, К сожалению, тема еще актуальна, если не сложно покажите в коде. 0

@Монфрид 1245 / 1055 / 293 Регистрация: 07.03.2012 Сообщений: 3,245
	14.01.2015, 13:22	5
	используйте параметры http://msdn.microsoft.com/ru-r... .110).aspx 0

@Vlad11 10 / 10 / 2 Регистрация: 12.05.2014 Сообщений: 229
	14.01.2015, 13:41 [ТС]	6
	Сообщение от Монфрид используйте параметры http://msdn.microsoft.com/ru-r... .110).aspx не понимаю зачем Не по теме: не умничай, лучше пальцем покажи 0

@Qwertiy 833 / 641 / 101 Регистрация: 20.08.2013 Сообщений: 2,524
	14.01.2015, 21:53	7
	Сообщение от Vlad11 лучше пальцем покажи Я уже показал. 0

@Vlad11 10 / 10 / 2 Регистрация: 12.05.2014 Сообщений: 229
	17.01.2015, 10:20 [ТС]	10
	dimsaratov, Выдает ошибку: "Дополнительные сведения: Несоответствие типов данных в выражении условия отбора." строка 4 и 5 Добавлено через 34 минуты "ExecuteScalar" не является членом "String" MSDN пишет: OleDbCommand.ExecuteScalar Возвращаемое значение Тип: System.Object Первый столбец первой строки набора результатов или пустая ссылка, если набор результатов пуст. 0

@Qwertiy 833 / 641 / 101 Регистрация: 20.08.2013 Сообщений: 2,524
	19.01.2015, 00:21	12
	Сообщение от Vlad11 Выдает ошибку: "Дополнительные сведения: Несоответствие типов данных в выражении условия отбора." строка 4 и 5 И почему число присваивается строковой переменной? 0

@Замабувараев COM‐пропагандист 859 / 768 / 147 Регистрация: 18.12.2014 Сообщений: 2,198 Записей в блоге: 4
	22.01.2015, 21:30	15
	Это огромная дыра в безопасности. Если zKNum будет чему-то вроде 'UNION SELECT 1,username,password,1 FROM admin'. А если там будет DELETE, то вся ваша база данных полетит к чертям. 0

@Vlad11 10 / 10 / 2 Регистрация: 12.05.2014 Сообщений: 229
	23.01.2015, 09:44 [ТС]	16
	Сообщение от Замабувараев Это огромная дыра в безопасности. Если zKNum будет чему-то вроде 'UNION SELECT 1,username,password,1 FROM admin'. А если там будет DELETE, то вся ваша база данных полетит к чертям. Из Советской классики: "Переведи!" zKNum- переменная в которой содержится значение, и команда SELECT ищет в таблице данные, отвечающие этому значению, и насколько я понимаю пусть будет там DELETE, SELECT не найдет такой записи. Или я кой чего не понимаю? 0

@Qwertiy 833 / 641 / 101 Регистрация: 20.08.2013 Сообщений: 2,524
	23.01.2015, 16:31	17
	Сообщение от Vlad11 Или я кой чего не понимаю? SQL Injection 0

@Vlad11 10 / 10 / 2 Регистрация: 12.05.2014 Сообщений: 229
	26.01.2015, 12:02 [ТС]	18
	Qwertiy, Не по теме: Жуть, даже представить себе такое не мог. Спасибо за информацию. 0