Как добиться поиска определенного года и суммы с помощью С#
Вот небольшая демонстрация базы данных SQL, в которую можно добавить, обновить элементы удаления с SQL-сервера.
В одной базе данных SQL Server имеется две таблицы, вторая - "члены", вторая - "обзор".
- В элементах есть отдельный столбец идентификаторов и персональная информация, такая как имя, адрес телефона и т.д.
- В обзоре есть только три столбца: DID, год и количество.
Существует одна форма окна, язык - С#, а проект построен в Visual Studio 2010 и, конечно, база данных в SQL Server 2010.
В форме окна есть кнопки "reset, insert, update and delete".
- Рядом с текстовым полем DID есть еще одна кнопка, в которую может быть вставлен отдельный идентификатор, и после нажатия кнопки "Поиск" последняя запись, сделанная по показаниям участников, заполняется всеми текстовыми полями, где отображается адрес телефона адреса. Это служит для функции, в которой можно видеть полную информацию о членах, и изменения могут быть сделаны или могут быть удалены из дБ.
- Есть два текстовых поля, в частности Year и Amount, которые показывают, что участник заплатил определенную сумму за определенный год.
Но, как я уже упоминал в текстовых полях, вы можете видеть только последнюю сделанную запись. Какую функцию я хочу достичь, так это то, что после вставки идентификатора пользователя x я мог бы только в текстовом поле года, которое можно было вставить, можно сказать, что в прошлом году и в прессе, который обычно должен заполнять все текстовые поля информацией и в размере текстовое поле должно показать мне запись от дБ, которая в соответствии с годом, когда я ввела количество суммы, или нет ничего, что означает, что член может не быть членом в течение определенного года.
Мне нужна помощь в достижении этой логики программно, поэтому я хотел бы обратиться за помощью.
Настоящая программа выглядит следующим образом:
using System;
using System.Collections.Generic;
using System.ComponentModel;
using System.Data;
using System.Data.SqlClient;
using System.Drawing;
using System.Linq;
using System.Text;
using System.Windows.Forms;
namespace SQLDatabase
{
public partial class SQLDBDisplay : Form
{
SqlConnection con = new SqlConnection("Data Source=JG-PC\\SQLEXPRESS;Initial Catalog=TEST;Integrated Security=True");
public SQLDBDisplay()
{
InitializeComponent();
}
SqlDataAdapter da;
DataSet ds = new DataSet();
private void btnSearch_Click(object sender, EventArgs e)
{
SqlDataReader reader;
SqlCommand cmd = new SqlCommand();
try
{
string sql = "SELECT * FROM members where dID = '" + txtdID.Text + "' ";
txtYear.Text = sql;
cmd.Connection = con;
cmd.CommandText = sql;
con.Open();
reader = cmd.ExecuteReader();
while (reader.Read())
{
txtID.Text = reader["ID"].ToString();
txtName.Text = reader["Name"].ToString();
txtAddress.Text = reader["Address"].ToString();
txtMobile.Text = reader["Mobile"].ToString();
txtEmail.Text = reader["Email"].ToString();
txtdID.Text = reader["dID"].ToString();
}
con.Close();
sql = "SELECT * FROM Overview where dID = '" + txtdID.Text + "' ";
txtYear.Text = txtYear.Text + " : " + sql;
cmd.Connection = con;
cmd.CommandText = sql;
con.Open();
reader = cmd.ExecuteReader();
while (reader.Read())
{
txtYear.Text = reader["Year"].ToString();
txtAmount.Text = reader["Amount"].ToString();
txtdID.Text = reader["dID"].ToString();
}
con.Close();
}
catch (Exception ex)
{
MessageBox.Show(ex.Message.ToString());
}
}
private void btnReset_Click(object sender, EventArgs e)
{
txtdID.Text = ""; txtName.Text = ""; txtAddress.Text = "";
txtMobile.Text = ""; txtEmail.Text = ""; txtYear.Text = "";
txtAmount.Text = "";
}
private void btnInsert_Click(object sender, EventArgs e)
{
SqlCommand cmd = new SqlCommand();
string Sql = "INSERT INTO members (dID, Name, Address, Email, Mobile) VALUES ( '" + txtdID.Text+ "','" + txtName.Text + "','"
+ txtAddress.Text + "', '" + txtEmail.Text + "', '" + txtMobile.Text + "')";
cmd.CommandText = Sql;
cmd.Connection = con;
con.Open();
cmd.ExecuteNonQuery();
con.Close();
Sql = "INSERT INTO Overview (dID, Year, Amount) VALUES ('"+ txtdID.Text +"' ,'" + txtYear.Text + "','" + txtAmount.Text +
"')";
cmd.CommandText = Sql;
cmd.Connection = con;
con.Open();
cmd.ExecuteNonQuery();
con.Close();
MessageBox.Show("Record Inserted Scuessfully!!!");
for (int i = 0; i < this.Controls.Count; i++)
{
if (this.Controls[i] is TextBox)
{
this.Controls[i].Text = "";
}
}
}
private void btnUpdate_Click(object sender, EventArgs e)
{
try
{
SqlCommand cmd = new SqlCommand();
string Sql = "Update members set Name = '" + txtName.Text + "', Address = '" + txtAddress.Text + "', Email = '" +
txtEmail.Text + "', Mobile = '" + txtMobile.Text + "' WHERE dID = '"
+ txtdID.Text + "'";
cmd.CommandText = Sql;
cmd.Connection = con;
con.Open();
cmd.ExecuteNonQuery();
con.Close();
Sql = "Update overview set Year = '" + txtYear.Text + "', Amount = '" + txtAmount.Text + "' WHERE dID = '"+ txtdID.Text+"'";
cmd.CommandText = Sql;
cmd.Connection = con;
con.Open();
cmd.ExecuteNonQuery();
MessageBox.Show("Data Scuessfully Updated");
con.Close();
}
catch (Exception error)
{
MessageBox.Show(error.ToString());
}
for (int i = 0; i < this.Controls.Count; i++)
{
if (this.Controls[i] is TextBox)
{
this.Controls[i].Text = "";
}
}
}
private void btnDelete_Click(object sender, EventArgs e)
{
SqlCommand cmd = con.CreateCommand();
cmd.CommandType = CommandType.Text;
cmd.CommandText = "DELETE FROM members WHERE dID = '"+ txtdID.Text +"'";
con.Open();
cmd.ExecuteNonQuery();
cmd.CommandText = "DELETE FROM overview WHERE dID = '" + txtdID.Text + "'";
cmd.ExecuteNonQuery();
da = new SqlDataAdapter(cmd);
MessageBox.Show("Record Scuessfully Deleted !");
con.Close();
for (int i = 0; i < this.Controls.Count; i++)
{
if (this.Controls[i] is TextBox)
{
this.Controls[i].Text = "";
}
}
}
private void btnClose_Click(object sender, EventArgs e)
{
Application.Exit();
}
} }
Ответы
Ответ 1
Чтобы добавить решение комментариев, сделанных пользователями по параметрам и SQL-инъекции, я стараюсь использовать код ниже при подключении к любой базе данных.
using(SqlConnection connection = new SqlConnection("YOUR CONNECTION STRING"))
{
try
{
using(SqlCommand command = new SqlCommand())
{
command.CommandText = "SELECT * FROM members where dID = @MyId";
command.Connection = connection;
// Set the SqlDbType to your corresponding type
command.Parameters.Add("@MyId", SqlDbType.VarChar).Value = txtdID.Text;
connection.Open();
SqlDataReader reader = command.ExecuteReader();
while (reader.Read())
{
txtID.Text = reader["ID"].ToString();
txtName.Text = reader["Name"].ToString();
txtAddress.Text = reader["Address"].ToString();
txtMobile.Text = reader["Mobile"].ToString();
txtEmail.Text = reader["Email"].ToString();
txtdID.Text = reader["dID"].ToString();
}
}
}
finally
{
connection.Close();
}
}
Ответ 2
Вам нужно сгруппировать свой SELECT в столбце Amount. Простым ответом на ваш вопрос будет изменение второго запроса на выбор следующим образом:
sql = "SELECT Year, dID, SUM(Amount) as Amount FROM Overview where dID = '" + txtdID.Text + "' AND Year = " + txtYear.Text + "GROUP BY amount";
Возможно, вы хотите использовать значение txtYear.Text для параметра SQL, поэтому:
txtYear.Text = sql;
и
txtYear.Text = txtYear.Text + " : " + sql;
не делайте слишком много смысла в коде.
Конечно, это не правильный путь, поскольку он подвержен SQL Injection. Я бы рекомендовал вам использовать хранимые процедуры SQL, которые определенно безопаснее в отношении SQL Injection.
Еще одно улучшение качества кода будет заключаться в том, что вы должны использовать using заявления, чтобы заключить SQLConnection, SQLCommand и SQLDataReader инициализация объектов.
