Lektion 15: lösningsförslag

1. -- 1
2. -- Samtliga bokningar, även för andra patienter, kan hittas genom att logga in, välja alternativ 1 och ange följande läkare:
3. Brad Pitt' OR 'a' = 'a
5. -- SQL-kommandot som körs blir då följande:
6. SELECT PatientID, Date, Doctor
7. FROM Appointment
8. WHERE PatientID = '8502101234' AND Doctor = 'Brad Pitt' OR 'a' = 'a'
10. -- Samtliga recept inklusive personnummer, även för andra patienter, kan hittas genom att logga in, välja alternativ 2 och ange följande antal månader:
11. 12 OR 1 = 1
13. -- SQL-kommandot som körs blir då följande:
14. SELECT PatientID, DatePrescribed, Medicine
15. FROM Prescription
16. WHERE PatientID = '8502101234' AND DATEDIFF(month, DatePrescribed, GETDATE()) <= 12 OR 1 = 1
18. -- 2
19. -- Ändra koden så att den använder parameters, exempelvis:
20. string sql = @"
21. SELECT PatientID, Date, Doctor
22. FROM Appointment
23. WHERE PatientID = @Id AND Doctor = @Doctor";
25. SqlCommand command = new SqlCommand(sql, connection);
26. command.Parameters.Add(new SqlParameter("@Id", id));
27. command.Parameters.Add(new SqlParameter("@Doctor", doctor));