C# 使用参数将数据插入access数据库
我有以下方法将数据插入access数据库,这很好,但如果我尝试插入包含我所学的单引号的文本,我确实会遇到问题C# 使用参数将数据插入access数据库,c#,asp.net,ms-access,C#,Asp.net,Ms Access,我有以下方法将数据插入access数据库,这很好,但如果我尝试插入包含我所学的单引号的文本,我确实会遇到问题 [WebMethod] public void bookRatedAdd(string title, int rating, string review, string ISBN, string userName) { OleDbConnection conn; conn = new OleDbConnection(@"Provider=Microsoft.Jet.Ole
[WebMethod]
public void bookRatedAdd(string title, int rating, string review, string ISBN, string userName)
{
OleDbConnection conn;
conn = new OleDbConnection(@"Provider=Microsoft.Jet.OleDb.4.0;
Data Source=" + Server.MapPath("App_Data\\BookRateInitial.mdb"));
conn.Open();
OleDbCommand cmd = conn.CreateCommand();
cmd.CommandText = @"INSERT INTO bookRated([title], [rating], [review], [frnISBN], [frnUserName])VALUES('" + title + "', '" + rating + "','" + review + "','" + ISBN + "', '" + userName + "')";
cmd.ExecuteNonQuery();
conn.Close();
}
据我所知,解决问题的方法之一是使用参数。老实说,我不知道该怎么做。如何更改上述代码,以便使用参数插入数据
问候
Arian与任何其他查询相同: a) 将中的实际硬编码参数替换为占位符(前缀为
@
),b) 将的实例添加到属性。参数名称必须与占位符名称匹配
[WebMethod]
public void bookRatedAdd(string title, int rating, string review, string ISBN, string userName)
{
using (OleDbConnection conn = new OleDbConnection(
"Provider=Microsoft.Jet.OleDb.4.0;"+
"Data Source="+Server.MapPath("App_Data\\BookRateInitial.mdb"));
{
conn.Open();
// DbCommand also implements IDisposable
using (OleDbCommand cmd = conn.CreateCommand())
{
// create command with placeholders
cmd.CommandText =
"INSERT INTO bookRated "+
"([title], [rating], [review], [frnISBN], [frnUserName]) "+
"VALUES(@title, @rating, @review, @isbn, @username)";
// add named parameters
cmd.Parameters.AddRange(new OleDbParameter[]
{
new OleDbParameter("@title", title),
new OleDbParameter("@rating", rating),
...
});
// execute
cmd.ExecuteNonQuery();
}
}
}
必须使用参数来插入值。这完全是一个安全问题。 如果您这样做,就可以进行sql注入 试着这样做:
string ConnString = Utils.GetConnString();
string SqlString = "Insert Into Contacts (FirstName, LastName) Values (?,?)";
using (OleDbConnection conn = new OleDbConnection(ConnString))
{
using (OleDbCommand cmd = new OleDbCommand(SqlString, conn))
{
cmd.CommandType = CommandType.Text;
cmd.Parameters.AddWithValue("FirstName", txtFirstName.Text);
cmd.Parameters.AddWithValue("LastName", txtLastName.Text);
conn.Open();
cmd.ExecuteNonQuery();
}
}
对于Microsoft Access,参数是基于位置且未命名的,您应该使用
?
作为占位符符号,尽管如果使用名称参数,只要它们的顺序相同,代码也可以使用
有关详细信息,请参阅文档
评论
当CommandType设置为Text时,OLE DB.NET提供程序不支持将参数传递给SQL语句或OleDbCommand调用的存储过程的命名参数。在这种情况下,必须使用问号(?)占位符。例如:
SELECT * FROM Customers WHERE CustomerID = ?
因此,OLEDBPParameter对象添加到OLEDBPParameterCollection的顺序必须直接对应于命令文本中参数的问号占位符的位置
确保包括将使用参数的预期架构类型和架构长度(如果适用)
我还建议您在类型实现IDisposable
的实例周围始终使用using
语句,如OleDbConnection
,以便即使代码中抛出异常,连接也始终关闭
更改代码:
var connectionStringHere = @"Provider=Microsoft.Jet.OleDb.4.0;Data Source=" + Server.MapPath("App_Data\\BookRateInitial.mdb";
using (var conn = new OleDbConnection(connectionStringHere))
using (var cmd = conn.CreateCommand())
{
cmd.CommandText = "INSERT INTO bookRated ([title], [rating], [review], [frnISBN], [frnUserName]) VALUES(?, ?, ?, ?, ?)";
cmd.Parameters.Add(new OleDbParameter("?", OleDbType.VarChar, 100) { Value = title});
cmd.Parameters.Add(new OleDbParameter("?", OleDbType.Integer) { Value = rating });
cmd.Parameters.Add(new OleDbParameter("?", OleDbType.VarChar, 2000) { Value = review });
cmd.Parameters.Add(new OleDbParameter("?", OleDbType.VarChar, 60) { Value = ISBN });
cmd.Parameters.Add(new OleDbParameter("?", OleDbType.VarChar, 256) { Value = userName });
conn.Open();
var numberOfRowsInserted = cmd.ExecuteNonQuery();
}
作为一个旁注,请记住,<代码> @ /COD>前缀使字符串为文字,意味着连接字符串跨越多个行,中间有一串空格。此外,所有的
DbCommand
实现都实现了IDisposable
,这意味着您应该在使用后处理您的命令。只需阅读文档!这是一种不使用参数插入数据的方法。这不是推荐的方法,并且不适合sql注入。不要用那个-1@Milen:我现在没有一台可以检查的pc,但您确定命名参数(带有@prefix)不能与OleDbCommand
一起使用吗?我知道这是一个旧线程,但值得澄清一点:“OLE DB.NET Framework数据提供程序使用带有问号(?)的位置参数Insert语句应该使用什么?而不是命名参数。这是根据MSDN文章:重要提示:对于Access数据库,必须按照参数在查询中出现的相同顺序添加参数。
var connectionStringHere = @"Provider=Microsoft.Jet.OleDb.4.0;Data Source=" + Server.MapPath("App_Data\\BookRateInitial.mdb";
using (var conn = new OleDbConnection(connectionStringHere))
using (var cmd = conn.CreateCommand())
{
cmd.CommandText = "INSERT INTO bookRated ([title], [rating], [review], [frnISBN], [frnUserName]) VALUES(?, ?, ?, ?, ?)";
cmd.Parameters.Add(new OleDbParameter("?", OleDbType.VarChar, 100) { Value = title});
cmd.Parameters.Add(new OleDbParameter("?", OleDbType.Integer) { Value = rating });
cmd.Parameters.Add(new OleDbParameter("?", OleDbType.VarChar, 2000) { Value = review });
cmd.Parameters.Add(new OleDbParameter("?", OleDbType.VarChar, 60) { Value = ISBN });
cmd.Parameters.Add(new OleDbParameter("?", OleDbType.VarChar, 256) { Value = userName });
conn.Open();
var numberOfRowsInserted = cmd.ExecuteNonQuery();
}