我最近开始了一项新工作,他们使用Vistadb,因此在人们建议之前我无法更改软件包。我从数据库中获取了一个byte[]来自不同系统中使用的图像数据类型,因此其数据类型无法从image更改为varbinary。我已对byte[]进行了更改,现在需要将其放回到新记录中的数据库中,但是我似乎无法解决SQL查询到目前为止应该如何处理它。
zz是byte[]其余的工作正常只需要一种方法将其放入我的SQL查询
sql = "INSERT INTO TimeHistory(\"Data\",\"Name\",\"Units\",\"ParameterData\",\"StartTime\",\"EndTime\",\"StorageRate\",\"Measurement\") SELECT \'" +zz+ "\',\'" + Name + "\',\'" + Units + "\',\'" + ParameterData + "\',\'" + start + "\',\'" + end + "\',\'" + storage + "\'" + ",SELECT Max(ID)From Measurement;";
ExecuteScript(sql);
这是通过使用WPF表单的c#.net完成的。
答案 0 :(得分:0)
执行所需操作的关键是使用参数将数据传递给SQL操作,而不是将其转换为字符串并将其嵌入到TSQL代码中。这是一种最佳实践,不仅因为它可以防止不必要的类型转换(例如从DateTime到字符串和字符串返回到DateTime以进行存储),而且还可以防止安全性 - 它确保数据库引擎只会尝试执行您想要代码的代码,不是碰巧转义的数据,因此它被评估为字符串的一部分。
我们在ADO.NET示例中有一个很好的示例: Common Operations in ADO.NET 如果你沿着页面走下去,你会看到一个例子“使用参数化命令插入数据”,它可以用于任何类型,如下所示:
using (VistaDBConnection connection = new VistaDBConnection())
{
connection.ConnectionString = @"Data Source=C:\mydatabase.vdb5";
connection.Open();
using (VistaDBCommand command = new VistaDBCommand())
{
int Age = 21;
command.Connection = connection;
command.CommandText = "INSERT INTO MyTable (MyColumn) VALUES (@age)";
command.Parameters.Add("@age", Age);
command.ExecuteNonQuery();
}
}