logo标签列表

SQL查询参数化

c#.netsqlt-sqlado.net
4
许多关于使用C#在SQL中参数的文章,但我仍然缺少某些东西。我没有收到错误消息,但没有插入数据。有什么遗漏?我有名为fname、lname、address、city、state和zip的文本框。
 private void enter_button_Click(object sender, EventArgs e)
 {
    string first, last, addy, city1, stat, zippy;
    first = fname.Text; 
    SqlParameter firstparam;
    firstparam = new SqlParameter();
    firstparam.ParameterName = "@first";
    firstparam.Value = first;
    last = lname.Text;
    SqlParameter lastparam;
    lastparam = new SqlParameter();
    lastparam.ParameterName = "@last";
    lastparam.Value = last;
    addy = address.Text;
    SqlParameter addressparam;
    addressparam = new SqlParameter();
    addressparam.ParameterName = "@addy";
    addressparam.Value = addy;
    city1 = city.Text;
    SqlParameter cityparam;
    cityparam = new SqlParameter();
    cityparam.ParameterName = "@city1";
    cityparam.Value = city1;
    stat = state.Text;
    SqlParameter stateparam;
    stateparam = new SqlParameter();
    stateparam.ParameterName = "@stat";
    stateparam.Value = stat;
    zippy = zip.Text;
    SqlParameter zipparam;
    zipparam = new SqlParameter();
    zipparam.ParameterName = "@zippy";
    zipparam.Value = zippy;

    try
    {
        Validate(fname);
        Validate(lname);
        Validate(city);
        Validate(state);
    }
    catch (Exception ex)
    {
        throw new Exception(ex.ToString(), ex);
    }

    try
    {
        exValidate(address);
    }
    catch (Exception ex1)
    {
        throw new Exception(ex1.ToString(), ex1);
    }

    try
    {
        numValidate(zip);
    }
    catch (Exception ex2)
    {
        throw new Exception(ex2.ToString(), ex2);
    }


    string connection = "Data Source=TX-MANAGER;Initial Catalog=Contacts;Integrated Security=True";
    var sqlstring = string.Format("INSERT INTO Contacts ([First] ,[Last] ,[Address] ,[City] ,[State],[ZIP]) VALUES {0}, {1}, {2}, {3}, {4}, {5})", @first, @last, @addy, @city1, @stat, @zippy);
    SqlConnection conn = new SqlConnection(connection);
    SqlCommand comm = new SqlCommand();
    comm.CommandText = sqlstring;
    try
    {
        conn.Open();
        //SqlTransaction trans = conn.BeginTransaction();
        //comm.Transaction = trans;
        comm.Parameters.Add("@first", SqlDbType.Text);
        comm.Parameters.Add("@last", SqlDbType.Text);
        comm.Parameters.Add("@addy", SqlDbType.Text);
        comm.Parameters.Add("@city1", SqlDbType.Text);
        comm.Parameters.Add("@stat", SqlDbType.Text);
        comm.Parameters.Add("@zippy", SqlDbType.SmallInt);
    }
    catch (Exception commex)
    {
        throw new Exception(commex.ToString(), commex);
    }
    conn.Close();
}

所以我改成了这个,但仍然没有任何反应。
     string connection = "Data Source=TX-MANAGER;Initial Catalog=Contacts;Integrated Security=True";
        var sqlstring = string.Format("INSERT INTO Contacts ([First] ,[Last] ,[Address] ,[City] ,[State],[ZIP]) VALUES {0}, {1}, {2}, {3}, {4}, {5})", @first, @last, @addy, @city1, @stat, @zippy);
        SqlConnection conn = new SqlConnection(connection);
        SqlCommand comm = conn.CreateCommand();
        comm.CommandText = sqlstring;
        try
        {
            conn.Open();
            //SqlTransaction trans = conn.BeginTransaction();
            //comm.Transaction = trans;
            comm.Parameters.AddWithValue("@first", first);
            comm.Parameters.AddWithValue("@last", last);
            comm.Parameters.AddWithValue("@addy", addy);
            comm.Parameters.AddWithValue("@city1", city1);
            comm.Parameters.AddWithValue("@stat", stat);
            comm.Parameters.AddWithValue("@zippy", zippy);
            comm.ExecuteNonQuery();
由于在catch子句中重新抛出异常并且conn.Close()位于(不存在的)finally块之外,因此连接不会在发生异常时关闭。请改用using语句 - Tim Schmelter
5个回答
6
你忘记执行命令了 ;) 编辑:你还没有在方法开头使用你创建的参数。
    ...
    try
    {
        conn.Open();
        //SqlTransaction trans = conn.BeginTransaction();
        //comm.Transaction = trans;
        comm.Parameters.Add(firstparam);
        comm.Parameters.Add(lastparam);
        comm.Parameters.Add(addressparam);
        comm.Parameters.Add(cityparam);
        comm.Parameters.Add(stateparam);
        comm.Parameters.Add(zipparam);

        // This is what you forgot:
        comm.ExecuteNonQuery();
    }
    ...

顺便说一句,不要做那样的事情:

    catch (Exception ex1)
    {
        throw new Exception(ex1.ToString(), ex1);
    }

这是没有用的,它只是增加了一个新的异常级别,而没有添加任何有用的内容。让异常一直沿着堆栈向上传递,直到它到达实际执行有用操作的捕获块。

1
此外,他所有的 SqlParameters(firstparam、lastparam 等)都没有与 SqlCommand(comm)的 SqlParameterCollection 相关联。 - John Gathogo
我认为你说错了:看一下,添加的参数没有值。没有添加带有值的参数。 - abatishchev
1
好的。这段代码本身有很多缺陷。嵌入式SQL语句本身不正确。@GarethD在他的回答中指出了这一点。 - John Gathogo
5
提供的示例中存在以下关键问题:
  • sqlstring 的定义应包含字符串中的参数定义
  • 当抛出错误时通过创建新的错误对象来重置调用栈
  • SqlConnectionSqlCommand 对象未正确释放(例如,conn.Close() 调用不在异常处理程序的 Finally 部分中)
  • SqlParametersValue 未被设置
  • 未调用 SqlCommand 对象的 Execute 方法
  • 字符串值存储在 varchar 类型中,而不是 Text。文本是已弃用的 SQL Server 数据类型,用于存储 blob。
我将按照以下方式重新设计代码:
     private void enter_button_Click(object sender, EventArgs e)
     {
        var first = fname.Text; 
        var last = lname.Text;
        var addy = address.Text;
        var city1 = city.Text;
        var stat = state.Text;
        var zippy = zip.Text;

        Validate(fname);
        Validate(lname);
        Validate(city);
        Validate(state);
        exValidate(address);
        numValidate(zip);

        using (var conn = new SqlConnection("Data Source=TX-MANAGER;Initial Catalog=Contacts;Integrated Security=True"))
        using (var cmd = new SqlCommand(@"INSERT INTO Contacts ([First], [Last], [Address], [City], [State], [ZIP]) VALUES (@first, @last, @addy, @city1, @stat, @zippy)", conn))
        {
            cmd.Parameters.AddRange(
                new[]
                    {
                        new SqlParameter(@"first", SqlDbType.VarChar).Value = first,
                        new SqlParameter(@"last", SqlDbType.VarChar).Value = last,
                        new SqlParameter(@"addy", SqlDbType.VarChar).Value = addy,
                        new SqlParameter(@"city1", SqlDbType.VarChar).Value = city1,
                        new SqlParameter(@"state", SqlDbType.VarChar).Value = stat,
                        new SqlParameter(@"zippy", SqlDbType.SmallInt).Value = zippy
                    });
            conn.Open();
            cmd.ExecuteNonQuery();
        }
    }

注意:由于SqlCE不总是在没有提供类型的情况下正常工作,因此我更喜欢提供参数的数据类型。

它说它不能接受字符串。变量first、last等被设置为字符串,但SQL字符串是使用@first等而不是参数.addRange()之前的值进行设置的。我需要先为SqlParameters设置值,这样当设置SQL字符串时,它就是使用SqlParameter.Values设置的,对吧?但我不能只移动AddRange,因为那样SqlCommand就没有初始化,这会在初始化之前的每个命令调用中引发错误。 - marcmiller2007
我在 SQL 字符串中添加了缺失的括号。 - Filip De Vos
此外,数据类型应该是 Varchar,而不是 text - Filip De Vos
在数组中,我最终创建了一个 sqlParameter 数组,并像这样为每个索引分配: sqlparam[0] = new SqlParameter(@"first", SqlDbType.Text); sqlparam[0].Value = first;这样可以将值分配给数组,然后调用: comm.Parameters.AddRange(sqlparam); - marcmiller2007
3
这将变得更加简洁:
using (SqlConnection connection = new SqlConnection(connectionString))
using (SqlCommand command = connection.CreateCommand())
{
    command.CommandText = "INSERT INTO Contacts ([First], [Last], [Address], [City], [State], [ZIP]) VALUES (@first, @last, @address, @city, @state, @zip)";

    command.Parameters.AddWithValue("@first", first);
    // or
    // command.Parameters.Add("@first", SqlDbType.Type).Value = first;
    // ...

    connection.Open();
    command.ExecuteNonQuery();
}

但首先,这是你错过的内容:
comm.Parameters.Add(firstparam);
// instead of
// comm.Parameters.Add("@first", SqlDbType.Text);

并且

command.ExecuteNonQuery();
所以我改成了这样,但仍然没有任何反应。 - marcmiller2007
@marcmiller2007:再次确认您已将值设置为参数,并将其添加到命令中。然后执行命令。还要检查连接字符串。 - abatishchev
2

有许多方法可以解决这个问题,其中一种方法是将try块中的行替换为:

comm.Parameters.AddWithValue("@first", first);
comm.Parameters.AddWithValue("@last", last);
comm.Parameters.AddWithValue("@addy", addy);
comm.Parameters.AddWithValue("@city1", city1);
comm.Parameters.AddWithValue("@stat", stat);
comm.Parameters.AddWithValue("@zippy", zippy);

如果这样做,您就不需要进行所有SqlParameter的初始化。
而且您显然需要执行该命令:
comm.ExecuteNonQuery();
2
首先,你没有执行该命令,需要调用 comm.ExecuteNonQuery(); 方法。其次,你的 SQL 语句可能有误。这一行代码:
var sqlstring = string.Format("INSERT INTO Contacts ([First] ,[Last] ,[Address] ,[City],
[State],[ZIP]) VALUES {0}, {1}, {2}, {3}, {4}, {5})", @first, @last, @addy, @city1, 
@stat, @zippy)

可以只是:

var sqlstring = "INSERT INTO Contacts ([First] ,[Last] ,[Address] ,[City] ,[State],[ZIP]) 
                 VALUES (@first, @last, @addy, @city1, @stat, @zippy)";

第三点是您实际上没有将参数添加到命令中。您可以像这样创建参数:

SqlParameter zipparam;
zipparam = new SqlParameter();
zipparam.ParameterName = "@zippy";
zipparam.Value = zippy;

但是你添加了这个:
comm.Parameters.Add("@zippy", SqlDbType.SmallInt);

没有提到zipparam的参考。这意味着值zippy实际上从未添加到命令中。您可以使用以下一行完成所有操作:

comm.Parameters.Add(new SqlParameter(@Zippy, SqlDbType.SmallInt)).Value = zippy;
你可以写成 comm.Parameters.Add("@Zippy", SqlDbType.SmallInt).Value = zippy - abatishchev
网页内容由stack overflow 提供, 点击上面的
可以查看英文原文,
原文链接