我开发了一种方法,允许我通过参数传递表(字符串),列数组(字符串)和值数组(对象),然后我使用这些参数创建参数化查询。虽然它工作得很好,代码的长度以及多个for循环都会产生代码气味,特别是我觉得我用来在列和值之间插入逗号的方法可以用不同的更好的方式完成。
public static int Insert(string source, string[] column, object[] values)
{
int rowsAffected = 0;
try
{
using (SQLiteConnection conn = new SQLiteConnection(connectionString))
{
StringBuilder query = new StringBuilder();
query.Append(" INSERT INTO ");
query.Append(source);
query.Append("(");
for (int i = 0; i < column.Length; i++)
{
query.Append(column[i]);
if (i < values.Length - 1)
{
query.Append(",");
}
}
query.Append(")");
query.Append(" VALUES ");
query.Append("(");
for (int i = 0; i < values.Length; i++)
{
query.Append("@" + values[i].ToString());
if (i < values.Length - 1)
{
query.Append(",");
}
}
query.Append(")");
conn.Open();
using (SQLiteCommand cmd = new SQLiteCommand(query.ToString(), conn))
{
for (int i = 0; i < values.Length; i++)
{
cmd.Parameters.AddWithValue("@" + values[i].ToString(), values[i]);
}
rowsAffected = cmd.ExecuteNonQuery();
}
}
return rowsAffected;
}
catch (Exception e)
{
MessageBox.Show(e.Message);
}
return 0;
}
我正在使用System.Data.SQLite库与数据库进行交互。
感谢您的任何建议!
答案 0 :(得分:6)
这是使用StringBuilder使用分隔符追加多个值的惯用方法:
string separator = ",";
for (int i = 0; i < column.Length; i++)
{
query.Append(column[i]);
query.Append(separator);
}
query.Length -= separator.Length;
这假设您将至少有一个值,并且通常在我使用它的地方,如果没有至少一个值,那将是一个错误(并且看起来您的场景就是这样)。
您似乎已将此代码全部打开以进行SQL注入。
您似乎尝试使用参数,但我认为您没有正确完成。我读取代码的方式是,您使用的是参数的实际值而不是索引。我建议进行这种修改(假设您的列名称来自可信来源,但您的值不是):
for (int i = 0; i < values.Length; i++)
{
query.Append("@" + i.ToString()); // instead of query.Append("@" + values[i].ToString());
if (i < values.Length - 1)
{
query.Append(",");
}
}
query.Append(")");
conn.Open();
using (SQLiteCommand cmd = new SQLiteCommand(query.ToString(), conn))
{
for (int i = 0; i < values.Length; i++)
{
cmd.Parameters.AddWithValue("@" + i.ToString(), values[i]); // instead of cmd.Parameters.AddWithValue("@" + values[i].ToString(), values[i]);
}
rowsAffected = cmd.ExecuteNonQuery();
}
}
答案 1 :(得分:3)
参数和值的数量必须始终相同才能生效,因此可以使用两个StringBuilder消除循环。 (未经测试的代码,但它应该得到重点)
StringBuilder query = new StringBuilder();
StringBuilder insertParams = new StringBuilder();
query.Append(" INSERT INTO ");
query.Append(source);
query.Append("(");
for (int i = 0; i < column.Length; i++)
{
if (i < values.Length - 1)
{
query.Append(",");
insertParams.Append(",");
}
query.Append(column[i]);
insertParams.Append("@" + values[i].ToString());
}
query.Append(")");
query.Append(" VALUES ");
query.Append("(");
query.Append(insertValues.ToString());
query.Append(")");
由于长度相同,您可以同时构建参数列表和值列表,然后将值列表粘贴在循环结束的适当位置。净结果应该更快。 :)
答案 2 :(得分:1)
这是另一种选择。真的做了原始代码所做的事情,但将其分解为更小的块并将其抽象为一个名为InsertBuilder的类。
public class InsertBuilder
{
public InsertBuilder()
{
}
public InsertBuilder(string tableName, string[] columns, object[] values)
{
this.tableName = tableName;
this.columns = columns;
this.values = values;
}
private string tableName;
public string TableName
{
get { return tableName; }
set { tableName = value; }
}
private string[] columns;
public string[] Columns
{
get { return columns; }
set { columns = value; }
}
private object[] values;
public object[] Values
{
get { return values; }
set { values = value; }
}
public string InsertString
{
get
{
return CreateInsertString();
}
}
public void Clear()
{
this.values = null;
this.columns = null;
this.tableName = null;
}
private string CreateInsertString()
{
if(columns.Length == 0)
throw new InvalidOperationException(
"Columns must contain atleast one column"
);
if(values.Length == 0)
throw new InvalidOperationException(
"Values must contain atleast one value"
);
if(columns.Length != values.Length)
{
throw new InvalidOperationException(
string.Format(
"Columns length {0} does not match Values length {1}",
columns.Length,
values.Length)
);
}
StringBuilder insertString = new StringBuilder();
insertString.Append(CreateTableStatement());
insertString.Append(CreateColumnsStatement());
insertString.Append(CreateValuesStatement());
return insertString.ToString();
}
private string CreateTableStatement()
{
return " INSERT INTO " + tableName;
}
private string CreateColumnsStatement()
{
StringBuilder columnsStatement = new StringBuilder();
columnsStatement.Append("(");
for(int i = 0;i < columnsStatement.Length;i++)
{
columnsStatement.Append(columnsStatement[i]);
if(i < values.Length - 1) { columnsStatement.Append(","); }
}
columnsStatement.Append(")");
return columnsStatement.ToString();
}
private string CreateValuesStatement()
{
StringBuilder valuesStatement = new StringBuilder();
valuesStatement.Append("VALUES");
valuesStatement.Append("(");
for(int i = 0;i < values.Length;i++)
{
valuesStatement.Append("@" + values[i].ToString());
if(i < values.Length - 1) { valuesStatement.Append(","); }
}
valuesStatement.Append(")");
return valuesStatement.ToString();
}
}
然后您的原始代码看起来像这样。
public static int Insert(string source, string[] column, object[] values)
{
int rowsAffected = 0;
try
{
using(SQLiteConnection conn = new SQLiteConnection(connectionString))
{
InsertBuilder insertBuilder = new InsertBuilder();
insertBuilder.TableName = source;
insertBuilder.Columns = column;
insertBuilder.Values = values;
using(SQLiteCommand cmd = new SQLiteCommand(insertBuilder.InsertString, conn))
{
for(int i = 0;i < values.Length;i++)
{
cmd.Parameters.AddWithValue("@" + values[i].ToString(), values[i]);
}
conn.Open();
rowsAffected = cmd.ExecuteNonQuery();
}
}
return rowsAffected;
}
catch(Exception e)
{
MessageBox.Show(e.Message);
}
return 0;
}