Access 2007 - problema select sql

lunedì 06 ottobre 2008 - 12.14

guglielmo Profilo | Junior Member

ciao

scusate , sto cercando di usare un'istruzione sql ma Access 2007 mi segnala un errore
di compilazione or altro ;
per favore
dove sta l'errore ?

strSQL = "SELECT cognome, nome FROM tabella where campo1 =" ' & Me.campo1 & "'"_
" and campo2 = " & Me.campo2

Me.campo1 è alfabetico
Me.campo2 e intero lungo

grazie , ciao

lbenaglia Profilo | Guru

>strSQL = "SELECT cognome, nome FROM tabella where campo1 ="
>' & Me.campo1 & "'"_
> " and campo2 = " & Me.campo2
>
>Me.campo1 è alfabetico
>Me.campo2 e intero lungo

Ciao Guglielmo,

Riscrivi il comando di SELECT nel seguente modo:
Il codice sorgente non è stato renderizzato qui
perchè non c'è sufficiente spazio.
Clicca qui per visualizzarlo in una nuova finestra

Ricorda però che un comando del genere è soggetto ad attacchi di SQL Injection:
http://www.dotnethell.it/articles/SQL-Injection-Tutorial-Security.aspx

Per ovviare al problema, definisci delle Query parametriche richiamabili lato client via ADODB.Command (ADO) o sqlCommand (ADO.NET).

>grazie , ciao
Prego.

Ciao!
--
Lorenzo Benaglia
Microsoft MVP - SQL Server
http://blogs.dotnethell.it/lorenzo/
http://italy.mvps.org

guglielmo Profilo | Junior Member

grazie mille

avrò bisogno di un pò di tempo per leggere tutto quel materiale ...

se posso disturbarti ancora , giusto per conoscenza : come siscrive un'istruzione
sql su più righe ?

grazie ancora

ciao

lbenaglia Profilo | Guru

>se posso disturbarti ancora , giusto per conoscenza : come siscrive
>un'istruzione
>sql su più righe ?

I comandi SQL possono essere scritti su quante righe vuoi.
I caratteri di crlf vengono ignorati.

Se però componi una stringa SQL in Visual Basic, devi attenerti alle regole di quel linguaggio, ovvero utilizzare il carattere underscore (_) per fare proseguire una riga sulla successiva.

Ad ogni modo ti suggerisco di utilizzare oggetti Query parametrici onde evitare attacchi di SQL Injection.

>grazie ancora
Prego.

Ciao!
--
Lorenzo Benaglia
Microsoft MVP - SQL Server
http://blogs.dotnethell.it/lorenzo/
http://italy.mvps.org

guglielmo Profilo | Junior Member

okkappa

userò le query parametriche senza dubbio

grazie mille ancora

ciao Lorenzo
Partecipa anche tu! Registrati!
Hai bisogno di aiuto ?
Perchè non ti registri subito?

Dopo esserti registrato potrai chiedere
aiuto sul nostro Forum oppure aiutare gli altri

Consulta le Stanze disponibili.

Registrati ora !
Copyright © dotNetHell.it 2002-2023
Running on Windows Server 2008 R2 Standard, SQL Server 2012 & ASP.NET 3.5