C# と VB.NET の質問掲示板

わんくま同盟

ASP.NET、C++/CLI、Java 何でもどうぞ

C# と VB.NET の入門サイト


(過去ログ 33 を表示中)
■16593 / )  Re[1]: SQLのキーワード検索
□投稿者/ はつね (564回)-(2008/04/08(Tue) 16:48:14)
はつね さんの Web サイト
No16591 (hiro さん) に返信
> そこでテキストボックスにキーワードを入れそのキーワードを含むレコードを検索するSQLを
> SELECT * FROM 得意先テーブル WHERE (会社名 Like '*" & TextBox1.Text & "*')としたのですが
> TextBox1.Textのところに定数式が必要です。とエラーが出てしまいます。
> どうすればいいのでしょうか?

テキストボックスの内容をそのままSQL文に組み立ててはダメです。
SQLインジェクションという言葉を調べてみて下さい。

--以下、動作未確認---
        Using _cn As New System.Data.OleDb.OleDbConnection
                 :
               (中略)
                 :
            Using _cmd As New System.Data.OleDb.OleDbCommand
                Dim company As String = "*" & Me.TextBox1.Text.Trim & "*"
                _cmd.Connection = _cn
                _cmd.Parameters.Add("?company", company)
                _cmd.CommandText = "SELECT * FROM 得意先テーブル WHERE (会社名 Like ?company)"
                 :
               (中略)
                 :
            End Using
        End Using

返信 編集キー/


管理者用

- Child Tree -