3

我对专业编程相对缺乏经验,但我正在尝试编写一个与 MS Access 数据库接口的程序。本质上,我在表单中收集信息并尝试在每个条目的新行中传递信息。我有一个打开的 OleDbConnection 并且我的测试显示我能够看到哪一行会有新条目,但是当我点击提交按钮时,catch 中没有显示错误,但数据库保持不变。我最初将代码放在从 click 事件调用的方法中,但我只是将代码带到事件处理程序以验证问题不在于调用。

private void btnSubmit_Click(object sender, EventArgs e)
    {

        if (DBConnection.State.Equals(ConnectionState.Closed))
        {
            DBConnection.Open();
        }

        try
        {
            MessageBox.Show("Save Data at index: " + intRowPosition.ToString());

            OleDbCommand OledbInsert = new OleDbCommand("Insert INTO RetentionTable (DateTime,Center,CSP,MemberID,ContractNumber,RetentionType,RetentionTrigger,MemberReason,ActionTaken,Other) VALUES('" + DateTime.Now.ToString() + "','" + GetCenter("") + "','" + GetName("") + "','" + GetMemberID("") + "','" + GetContractNumber("") + "','" + GetType("") + "','" + GetTrigger("") + "','" + GetReason("") + "','" + GetAction("") + "', + GetOther("")," DBConnection);

            intRowPosition++;
        }

        catch (Exception ex)
        {
            MessageBox.Show(ex.Message.ToString());
            MessageBox.Show(ex.StackTrace.ToString());
        }
        finally
        {
            RefreshDBConnection();
        }

    }

任何关于为什么这不是写作的想法将不胜感激。

4

2 回答 2

7

上面的代码有很多问题。

  • 首先,应该执行一个命令,而不是简单地声明。(这就是数据库没有被修改的原因)
  • 其次,您在语句中使用保留关键字(因此即使您执行语句,它也会失败并抛出异常)
  • 第三,您正在连接字符串以构建命令文本。一个非常糟糕的举动,会使您的应用程序容易受到SQL 注入攻击
  • 四、使用后应关闭连接

让我试着写一个替换代码

string cmdText = "Insert INTO RetentionTable " +
                "([DateTime],Center,CSP,MemberID,ContractNumber,RetentionType," + 
                "RetentionTrigger,MemberReason,ActionTaken,Other) " + 
                "VALUES(?, ?, ?, ?, ?, ?, ?, ?, ?, ?)";
 using(OleDbConnection cn = new OleDbConnection(conString))
 using(OleDbCommand cmd = new OleDbCommand(cmdText, cn))
 {
    cmd.Parameters.AddWithValue("@p1", DateTime.Now.ToString());
    cmd.Parameters.AddWithValue("@p2", GetCenter("")); 
    cmd.Parameters.AddWithValue("@p3", GetName(""));
    cmd.Parameters.AddWithValue("@p4", GetMemberID(""));
    cmd.Parameters.AddWithValue("@p5", GetContractNumber(""));
    cmd.Parameters.AddWithValue("@p6", GetType("")); 
    cmd.Parameters.AddWithValue("@p7", GetTrigger(""));
    cmd.Parameters.AddWithValue("@p8", GetReason(""));
    cmd.Parameters.AddWithValue("@p9", GetAction(""));
    cmd.Parameters.AddWithValue("@p10", GetOther(""));
    cmd.ExecuteNonQuery();
 }

DATETIME 是 Access 中的保留关键字,因此,如果要将其用于列名,则需要将其括在方括号中。

字符串连接在 MSAccess 中是一种不好的做法,但在其他数据库中它是一个致命缺陷,您的代码可用于Sql 注入(在 Access 中更难但并非不可能)。如果您像我的示例中那样使用参数化查询,则可以消除 Sql 注入问题,而且还可以让框架代码以日期、字符串和小数所需的正确格式将正确的值传递给数据库引擎。

要考虑的另一点是没有全局 OleDbConnection 对象,而是在需要时创建、使用和销毁该对象。连接池将避免性能问题,并且无论出于何种原因连接失败时,您的代码都不会遭受内存泄漏

我还想补充一点,您的GetXXXXX方法似乎都返回字符串。请记住,这些方法应返回与您要写入的基础数据库字段兼容的值

于 2013-07-03T14:43:08.010 回答
1

它可能是您放入数据库的值周围的语音标记。尝试更改为撇号。

无论如何,我强烈建议将最终的 SQL 存储在字符串中并将其打印到日志文件或屏幕上,然后将其复制到 Access SQL 编辑器并尝试运行它。然后你会看到是否有错误以及它是什么。

于 2013-07-03T14:39:56.050 回答