Tengo asp:GridView
mostrando las solicitudes de los clientes usando asp:SqlDataSource
. Quiero limitar la información mostrada por cliente:asp: QueryStringParameter y el parámetro de cadena de consulta vacía
View.aspx
tiene que mostrar todo, View.aspx?client=1
tiene que mostrar solo las solicitudes de la ID de cliente n. ° 1.
Así que estoy usando <asp:QueryStringParameter Name="client" QueryStringField="client" />
para la consulta "EXEC getRequests @client"
.
Todo funciona correctamente cuando se especifica un cliente. Pero no, si no.
Probé mi SP usando SSMS - funciona correctamente en ambos casos - cuando se especifica el parámetro y cuando no (NULL
pasó explícitamente).
¿Qué tengo que hacer?
Parece que te estás abriendo a algunos vectores de ataque de inyección SQL bastante serios con este enfoque. – womp
@womp: ¿Cómo estoy abriendo? QueryStringParameter se agrega en código subyacente solo para usuarios con los derechos adecuados y después de una serie de comprobaciones. – abatishchev
AH, si lo desinfecta, está bien. Simplemente miró de tu pregunta como si la estuvieras usando directamente. – womp