8

我只是 C# 的初学者,所以我需要太多帮助。现在的问题是我设计了一个 Windows 表单,其中有很多字段,如名字、姓氏、地址等。现在我想做的是,当我填写表单并单击插入按钮时,所有信息都会进入数据库。有谁知道这是怎么做到的吗?

private void button1_Click(object sender, System.EventArgs e)
{
    string connetionString = null;
    SqlConnection cnn ;
    SqlDataAdapter adapter = new SqlDataAdapter();
    string sql = null;
    connetionString = "Data Source=UMAIR;Initial Catalog=Air; Trusted_Connection=True;" ;

    cnn = new SqlConnection(connetionString);
    sql = "insert into Main (Firt Name, Last Name) values(textbox2.Text,textbox3.Text)";

    try
    {
        cnn.Open();
        adapter.InsertCommand = new SqlCommand(sql, cnn);
        adapter.InsertCommand.ExecuteNonQuery();
         MessageBox.Show ("Row inserted !! ");
    }
    catch (Exception ex)
    {
        MessageBox.Show(ex.ToString());
    }
}
4

6 回答 6

27

你的查询有很多问题。
这是您的代码的修改版本

string connetionString = null;
string sql = null;

// All the info required to reach your db. See connectionstrings.com
connetionString = "Data Source=UMAIR;Initial Catalog=Air; Trusted_Connection=True;" ;

// Prepare a proper parameterized query 
sql = "insert into Main ([Firt Name], [Last Name]) values(@first,@last)";

// Create the connection (and be sure to dispose it at the end)
using(SqlConnection cnn = new SqlConnection(connetionString))
{
    try
    {
       // Open the connection to the database. 
       // This is the first critical step in the process.
       // If we cannot reach the db then we have connectivity problems
       cnn.Open();

       // Prepare the command to be executed on the db
       using(SqlCommand cmd = new SqlCommand(sql, cnn))
       {
           // Create and set the parameters values 
           cmd.Parameters.Add("@first", SqlDbType.NVarChar).Value = textbox2.text;
           cmd.Parameters.Add("@last", SqlDbType.NVarChar).Value = textbox3.text;

           // Let's ask the db to execute the query
           int rowsAdded = cmd.ExecuteNonQuery();
           if(rowsAdded > 0) 
              MessageBox.Show ("Row inserted!!" + );
           else
              // Well this should never really happen
              MessageBox.Show ("No row inserted");

       }
    }
    catch(Exception ex)
    {
        // We should log the error somewhere, 
        // for this example let's just show a message
        MessageBox.Show("ERROR:" + ex.Message);
    }
}
  • 列名包含空格(应该避免),因此您需要在它们周围加上方括号
  • 您需要使用该using语句来确保将关闭连接并释放资源
  • 您将控件直接放在字符串中,但这不起作用
  • 您需要使用参数化查询来避免引用问题和 sqlinjiection 攻击
  • 无需使用 DataAdapter 进行简单的插入查询
  • 不要使用 AddWithValue,因为它可能是错误的来源(请参阅下面的链接)

除此之外,还有其他潜在的问题。如果用户没有在文本框控件中输入任何内容怎么办?在尝试插入之前,您是否对此进行过任何检查?正如我所说,字段名称包含空格,这会给您的代码带来不便。尝试更改这些字段名称。

此代码假定您的数据库列的类型为 NVARCHAR,如果不是,则使用适当的SqlDbType 枚举值。

请计划尽快切换到 NET Framework 的更新版本。1.1 现在真的过时了。

而且,关于 AddWithValue 问题,这篇文章解释了为什么我们应该避免它。我们可以停止使用 AddWithValue() 了吗?

于 2012-08-27T13:26:21.190 回答
8

使用参数化查询来防止 Sql 注入(安全问题)

使用 using 语句,以便关闭连接并释放资源。

using(var connection = new SqlConnection("connectionString"))
{
    connection.Open();
    var sql = "INSERT INTO Main(FirstName, SecondName) VALUES(@FirstName, @SecondName)";
    using(var cmd = new SqlCommand(sql, connection))
    {
        cmd.Parameters.AddWithValue("@FirstName", txFirstName.Text);
        cmd.Parameters.AddWithValue("@SecondName", txSecondName.Text);

        cmd.ExecuteNonQuery();
    }
}
于 2012-08-27T13:30:11.510 回答
5

您应该更改代码以使用SqlParameters并将您的插入语句调整为以下

string connetionString = "Data Source=UMAIR;Initial Catalog=Air; Trusted_Connection=True;" ;
// [ ] required as your fields contain spaces!!
string insStmt = "insert into Main ([First Name], [Last Name]) values (@firstName,@lastName)";

using (SqlConnection cnn = new SqlConnection(connetionString))
{
    cnn.Open();
    SqlCommand insCmd = new SqlCommand(insStmt, cnn);
    // use sqlParameters to prevent sql injection!
    insCmd.Parameters.AddWithValue("@firstName", textbox2.Text);
    insCmd.Parameters.AddWithValue("@lastName", textbox3.Text);
    int affectedRows = insCmd.ExecuteNonQuery();
    MessageBox.Show (affectedRows + " rows inserted!");
}
于 2012-08-27T13:31:32.717 回答
0 
sql = "insert into Main (Firt Name, Last Name) values(textbox2.Text,textbox3.Text)";

(名字)不是一个有效的字段。它应该是 FirstName 或 First_Name。这可能是你的问题。

于 2012-08-27T13:30:36.160 回答
0

您应该使用文本框的内容形成命令:

sql = "insert into Main (Firt Name, Last Name) values(" + textbox2.Text + 
"," + textbox3.Text+ ")";

当然,前提是您设法正确打开连接。

了解您当前的代码发生了什么会很有帮助。如果您在该消息框中显示一些错误,那么很高兴知道它在说什么。

您还应该在实际运行命令之前验证输入(即确保它们不包含恶意代码)。

于 2020-01-13T09:00:15.703 回答
-1

您应该使用文本框的内容形成命令:

sql = "insert into Main (Firt Name, Last Name) values(" + textbox2.Text + "," + textbox3.Text+ ")";

当然,前提是您设法正确打开连接。

了解您当前的代码发生了什么会很有帮助。如果您在该消息框中显示一些错误,那么很高兴知道它在说什么。

您还应该在实际运行命令之前验证输入(即确保它们不包含恶意代码......)。

于 2012-08-27T13:23:53.813 回答