Parametrisierte Abfragen - bedeutet das die einzelnen Objekte als Parameter �bergeben
werden - und nicht direkt im String!
DBComm2.CommandText = "INSERT INTO UserImages (UserID, Name, MimeType, Source,
Source_small) VALUES (@UserID, @Name, @MimeType, @Source, @Source_small); ";
SqlParameter Para;
Para = new SqlParameter("@UserID", this.UserID);
DBComm2.Parameters.Add(Para);
Para = new SqlParameter("@Name", Picture.Name);
DBComm2.Parameters.Add(Para);
Para = new SqlParameter("@MimeType", Picture.MimeType);
DBComm2.Parameters.Add(Para);
Para = new SqlParameter("@Source", Data);
DBComm2.Parameters.Add(Para);
Para = new SqlParameter("@Source_small", DataSmall);
DBComm2.Parameters.Add(Para);
DBComm2.ExecuteNonQuery();
So sieht eine parametrisierte Abfrage aus! In diesem Fall - ist das ein Insert Commad
- zum Speichern von Bildern - in die DB! Data ist das eigentliche Bild - DataSmall ist
eine verkleinerte Version - f�r Previews!
Data und DataSmall haben beide den Datentyp byte[]!
Als Parameter einer SP (Stored Procedure) w�rde das dann im Grunde genommen genauso
aussehen!
Das ganze gibt dir Schutz vor SQL Injection, sichere Typ �bergabe
-----Urspr�ngliche Nachricht-----
Von: [EMAIL PROTECTED] [mailto:[EMAIL PROTECTED] Im Auftrag von Daniel Gassmann
Gesendet: Samstag, 3. Juli 2004 15:20
An: [EMAIL PROTECTED]
Betreff: AW: [Asp.net] Dateiupload in Datenbank
Was meinst du mit "...als Parameter einer SP" oder "...einer
parametrisierten Abfrage..."?
Gruss Daniel
-----Urspr�ngliche Nachricht-----
Von: [EMAIL PROTECTED] [mailto:[EMAIL PROTECTED] Im
Auftrag von Claudius Ceteras
Gesendet: Samstag, 3. Juli 2004 12:01
An: [EMAIL PROTECTED]
Betreff: RE: [Asp.net] Dateiupload in Datenbank
> Hallo,
>
> fileData ist ja vom Typ byte[], mit string.Format ersetze ich
> nur die Werte in INS_FILE, also so:
>
> INSERT INTO tbl_files (filename, filedata, contenttype,
> filesize) VALUES ('{0}', '{1}', '{2}', '{3}')
Schon klar... Aber wer sagt dir, dass '{1}' dir das genauso formatiert wie
der sqlserver bin�re daten haben will? Bin�re Konstanten sehen beim
SQL-Server n�mlich so aus:
0x69048AEFDD010E...
Und das produziert Dir dein string.Format garantiert nicht... Abgesehen
davon, dass du dann die ganze Datei doppelt im Speicher haben musst...
Einmal als Array und dann als String...
�bergib das Array lieber als Parameter einer SP oder einer parametrisierten
Abfrage...
Claudius
_______________________________________________
Asp.net Mailingliste, Postings senden an:
[EMAIL PROTECTED]
An-/Abmeldung und Suchfunktion unter:
http://www.glengamoi.com/mailman/listinfo/asp.net
_______________________________________________
Asp.net Mailingliste, Postings senden an:
[EMAIL PROTECTED]
An-/Abmeldung und Suchfunktion unter:
http://www.glengamoi.com/mailman/listinfo/asp.net
_______________________________________________
Asp.net Mailingliste, Postings senden an:
[EMAIL PROTECTED]
An-/Abmeldung und Suchfunktion unter:
http://www.glengamoi.com/mailman/listinfo/asp.net
