如何使用c#INSERT INTO访问数据库

时间:2016-10-25 14:29:59

标签: c# sql ms-access insert-into

我正在尝试使用c#从winform向我的访问数据库添加数据。

我一直收到有关INSERT INTO语句的语法错误,无法看到我出错的地方。

请有人查看我的代码并告诉我哪里出错了。

private void btnLog_Click(object sender, EventArgs e)
{
    txtStatus.Text = "Open";

    conn.ConnectionString = "Provider=Microsoft.ACE.OLEDB.12.0;Data Source=C:\\Users\\mwool\\Desktop\\Uni\\3rd Year\\SEM 1\\AP\\Assignment\\Staff.accdb";

    string sql = "INSERT INTO Fault (faultType, Status, TechId, StaffId, Zone, Description) VALUES ('" + txtFaultType.Text + "', '" + txtStatus.Text + "', " + txtTechId.Text + "' , '" + txtStaffId.Text + "' , '" + txtZone.Text + "' , '" + txtDescription.Text + "')";

    OleDbCommand add = new OleDbCommand();

    add.CommandText = sql;

    add.Connection = conn;

    add.Connection.Open();

    add.ExecuteNonQuery();

    conn.Close();

}

2 个答案:

答案 0 :(得分:4)

您在txtTechId.Text之前错过了单引号。但是,您应始终使用parameterized queries来避免SQL Injection

string sql = "INSERT INTO Fault (faultType, Status, TechId, StaffId, Zone, Description) VALUES (@a,@b,@c,@d,@e,@f)";
add.Parameters.AddWithValue("@a", txtFaultType.Text);
add.Parameters.AddWithValue("@b", txtStatus.Text);
add.Parameters.AddWithValue("@c", txtTechId.Text);
add.Parameters.AddWithValue("@d", txtStaffId.Text);
add.Parameters.AddWithValue("@e", txtZone.Text);
add.Parameters.AddWithValue("@f", txtDescription.Text);

答案 1 :(得分:1)

  • 始终使用参数化查询。这可以防止像忘记带有字符串的'这样的简单错误,但更重要的是防止sql注入攻击。

  • 还始终在using块中包装数据库连接,命令和任何其他Disposable对象。

您的代码使用using语句和参数化输入重构。

using (OleDbConnection con = new OleDbConnection(@"Provider=Microsoft.ACE.OLEDB.12.0;Data Source=C:\\Users\\mwool\\Desktop\\Uni\\3rd Year\\SEM 1\\AP\\Assignment\\Staff.accdb"))
using (OleDbCommand cmd = new OleDbCommand())
{
    cmd.Connection = con;
    cmd.CommandType = CommandType.Text;
    cmd.CommandText = string sql = "INSERT INTO Fault (faultType, Status, TechId, StaffId, Zone, [Description]) VALUES (?, ?, ?, ?, ?, ?)";

    cmd.Parameters.Add(new OleDbParameter("@faultType", OleDbType.VarChar)).Value = txtFaultType.Text;
    cmd.Parameters.Add(new OleDbParameter("@Status", OleDbType.VarChar)).Value = txtStatus.Text;

    // this parameter is an example of passing an int instead of a string. Alwaysuse the correct types!
    cmd.Parameters.Add(new OleDbParameter("@TechId", OleDbType.Int)).Value = int.Parse(txtTechId.Text);

    cmd.Parameters.Add(new OleDbParameter("@StaffId", OleDbType.VarChar)).Value = txtStaffId.Text;
    cmd.Parameters.Add(new OleDbParameter("@Zone", OleDbType.VarChar)).Value = txtZone.Text;
    cmd.Parameters.Add(new OleDbParameter("@Description", OleDbType.VarChar)).Value = txtDescription.Text;

    con.Open();
    cmd.ExecuteNonQuery();
}

OleDbCommand不支持命名参数,请参阅OleDbCommand.Parameters

  

说明

     

当CommandType设置为Text时,OLE DB .NET提供程序不支持将参数传递给SQL语句或OleDbCommand调用的存储过程的命名参数。在这种情况下,必须使用问号(?)占位符。

另请注意:

  • OleConnection和OleDbCommand包含在using块中,因此即使发生异常也会对它们进行处理/清理。
  • 现在使用参数而不是硬编码字符串值
  • 参数使用正确的数据类型

可能不允许使用Description,因为它是reserved word(请参阅链接)。在这种情况下,用[]围绕它(参见上面的更新)。