Jaki argument dla funkcji aby SQL nie filtrował wyników

Question

Wiem, temat mało precyzyjny ale nie wiem jak to mógłbym lepiej nazwać...

Chodzi mi o to że mam funkcję która realizuje zapytanie SQL. Funkcja przyjmuje argumenty według których SQL filtruje wyniki. Jaki podać argument aby nie filtrować (wybrać wszystko) według wybranych argumentów?

 private void update_tabela(String a, String b){
     
       String sql ="select * from baza where (imie='"+a+"' AND nazwisko='"+b+"') order by id";

 

Answer 1

Nie bardzo rozumiem pytanie.

Jak podasz w funkcji update_tabela('Jan", "Kowalski") to jako wynik dostaniesz wszystkie rekordy które będą zawierać pole imię: "Jan" i nazwisko: "Kowalski".

Dla przykładu:

1. Jan Kowalski
2. Jan Kowalski
3. Jan Kowalski

Jak w SQL'u dasz zamiast "AND", "OR" to w wyniku dostaniesz rekordy które zawierają zarówno imie: "Jan" lub nazwisko: "Kowalski".

Dla przykładu:

1. Jan Kowalski
2. Jan Iksiński
3. Tomek Kowalski

PS.

Funkcje nazwałeś update_tabela() a w SQL'u nie masz: "select for update"?

Comments

Wszystko rozumiem ale to nie jest update bazy tylko update tabeli w okienku aplikacji. Użytkownik ma aplikację okienkową i za pomocą combo boxów steruje co ma mu się wyświetlić w tabeli na ekranie monitora. Chcę aby miał możliwość wyboru konkretnych danych lub po prostu wszystkich rekordów.

Answer 2

Nie wiem na jakim silniku bazodanowym pracujesz i jak łączysz się z bazą, ale parametry w ten sposób przekazywane to prośba o kłopoty. Zerknij na cmd.Parameters.Add. Chodzi o to, aby parametr został sprawdzony pod kątem ew. sql injection.

M.

Comments

Ale to nie jest aplikacja webowa tylko okienkowa. Nie ma możliwości na sql injection. Argument jest wybierany za pomocą combo boxa.

---

OK.