другой SQL оператор запроса

Question

ок спасибо большое за все, кто помогает мне, но теперь у меня есть другая проблема, я хочу, чтобы это утверждение правильно и

if (byNametextBox.Text != null && byBuildingtextBox.Text !=null && seTextBoxPublic1.Text == null) 
{ 
    da = new SqlDataAdapter("SELECT * FROM Students WHERE name='" +  byNametextBox.Text +"and [buil-id]='"+byBuildingtextBox.Text+ "'", MyConn); 

} 

я хочу, чтобы выбрать из той же таблицы с двумя условием пожалуйста

Answer 1

Лучше для обеспечения безопасности, если вы используете параметры в своем SQL-запросе.

Answer 2

Предположим, вы должны создать SqlCommand с двумя параметрами. Код, который вы разместили здесь, не безопасен для атак SQL Injection.

Пожалуйста, следуйте:

http://msdn.microsoft.com/en-us/library/ms161953.aspx

Answer 3

Чтобы ответить на ваш вопрос, тем не менее, ваш код создает SQL:

SELECT * FROM Students WHERE name='NAMEand [buil-id]='ID' 

должен быть

SELECT * FROM Students WHERE name='NAME' and [buil-id]='ID' 

Answer 4

Пожалуйста, используйте параметры! Если по каким-то причинам вы против них, это должно работать:

string strStatement = String.Format("SELECT * FROM Students WHERE [name] = '{0}' AND [buil-id] = '{1}'", byNametextBox.Text, byBuildingtextBox.Text); 
da = new SqlDataAdapter(strStatement, MyConn); 

Answer 5

Используйте parameterized запрос для предотвращения SQL-инъекции, также здесь некоторые дополнительные коды, если вы хотите, чтобы заполнить DataTable.

SqlDataAdapter da = new SqlDataAdapter("SELECT * FROM Students WHERE name = @byName and [buil-id]= @byBuilding " , MyConn) 
          DataTable dt= new DataTable(); 
          da.SelectCommand.Parameters.AddWithValue("@byName", byNametextBox.Text); 
          da.SelectCommand.Parameters.AddWithValue("@byBuilding", byBuildingtextBox.Text); 
          da.Fill(dt);