Я работаю над проектом с коллегой, где мы используем команды SQL для получения данных. Я пытаюсь понять, что делает эта команда: cmd.CommandText = "SELECT * FROM [Vehicles].[db_ddladmin].[View_VehicleReadouts] WHERE ECU='" + ecu + "' AND " + wherestr + " ORDER BY Name";Поиск таблиц в управлении сервером Windows sql
Я нашел две таблицы в управлении сервером sql 2014, которые называются Readouts and Vehicles, но я не могу понять, что делает команда?
Эта команда запускает запрос выбора объекта View_VehicleReadouts, который может быть таблицей или представлением. Этот объект находится в базе данных Vehicles и в схеме db_ddladmin. Для показа таблиц и транспортных средств, которые вы нашли дважды, они должны иметь разные схемы. Примечание. Используйте параметрный запрос, чтобы избежать инъекции SQL.
.. Какой 'ECU' является переменной' ecu' и 'wherestr' является чем-то вроде' ColumnName = ColumnValue'. –
Я действительно новичок в SQL, что вы имеете в виду с параметризацией, чтобы избежать SQL Injection? –
Я имею в виду вместо того, чтобы писать запрос непосредственно с пользовательского ввода, используйте параметры. Избегайте писать запросы, например WHERE ECU = «+ ecu +», где ECU = @ ecu. проверьте эту ссылку https://msdn.microsoft.com/en-us/library/ff648339.aspx –
Здесь вы указали текст команды, используя свойство CommandText. Текст команды может быть именем хранимой процедуры, имени таблицы или оператором SQL , как показано в следующем коде.
SqlCommand cmd = new SqlCommand();
cmd.CommandText = "myStoredProcedureName"; //Stored procedure
cmd.CommandText = "Vehicles" //Table name
cmd.CommandText = "SELECT * FROM View_VehicleReadouts " //SQL statement
Поскольку у Вас есть две таблицы в базе данных. Это может быть представление (вы можете видеть это в папке «Представления» в проводнике объектов вашей студии управления sql).
Ваш SQL выбран из представления, а не таблицы. – Kason
Что это значит? –
Вы можете найти это в папке Просмотры. – Kason