C# 使用参数将数据插入access数据库_C#_Asp.net_Ms Access

C# 使用参数将数据插入access数据库

c# asp.net ms-access

C# 使用参数将数据插入access数据库,c#,asp.net,ms-access,C#,Asp.net,Ms Access,我有以下方法将数据插入access数据库，这很好，但如果我尝试插入包含我所学的单引号的文本，我确实会遇到问题 [WebMethod] public void bookRatedAdd(string title, int rating, string review, string ISBN, string userName) { OleDbConnection conn; conn = new OleDbConnection(@"Provider=Microsoft.Jet.Ole

我有以下方法将数据插入access数据库，这很好，但如果我尝试插入包含我所学的单引号的文本，我确实会遇到问题

[WebMethod]
public void bookRatedAdd(string title, int rating, string review, string ISBN, string userName)
{
    OleDbConnection conn;
    conn = new OleDbConnection(@"Provider=Microsoft.Jet.OleDb.4.0;
                                               Data Source=" + Server.MapPath("App_Data\\BookRateInitial.mdb"));

    conn.Open();

    OleDbCommand cmd = conn.CreateCommand();

    cmd.CommandText = @"INSERT INTO bookRated([title], [rating],  [review], [frnISBN], [frnUserName])VALUES('" + title + "', '" + rating + "','" + review + "','" + ISBN + "', '" + userName + "')";
    cmd.ExecuteNonQuery();
    conn.Close();
}

据我所知，解决问题的方法之一是使用参数。老实说，我不知道该怎么做。如何更改上述代码，以便使用参数插入数据

问候

Arian

与任何其他查询相同：

a）将中的实际硬编码参数替换为占位符（前缀为

），
b）将的实例添加到属性。参数名称必须与占位符名称匹配

[WebMethod]
public void bookRatedAdd(string title, int rating, string review, string ISBN, string userName)
{
   using (OleDbConnection conn = new OleDbConnection(
         "Provider=Microsoft.Jet.OleDb.4.0;"+
         "Data Source="+Server.MapPath("App_Data\\BookRateInitial.mdb"));
   {

      conn.Open();

      // DbCommand also implements IDisposable
      using (OleDbCommand cmd = conn.CreateCommand())
      {
           // create command with placeholders
           cmd.CommandText = 
              "INSERT INTO bookRated "+
              "([title], [rating],  [review], [frnISBN], [frnUserName]) "+
              "VALUES(@title, @rating, @review, @isbn, @username)";

           // add named parameters
           cmd.Parameters.AddRange(new OleDbParameter[]
           {
               new OleDbParameter("@title", title),
               new OleDbParameter("@rating", rating),
               ...
           });

           // execute
           cmd.ExecuteNonQuery();
      }
   }
}

必须使用参数来插入值。这完全是一个安全问题。如果您这样做，就可以进行sql注入

试着这样做：

string ConnString = Utils.GetConnString();
string SqlString = "Insert Into Contacts (FirstName, LastName) Values (?,?)";
using (OleDbConnection conn = new OleDbConnection(ConnString))
{
  using (OleDbCommand cmd = new OleDbCommand(SqlString, conn))
  {
    cmd.CommandType = CommandType.Text;
    cmd.Parameters.AddWithValue("FirstName", txtFirstName.Text);
    cmd.Parameters.AddWithValue("LastName", txtLastName.Text);
    conn.Open();
    cmd.ExecuteNonQuery();
  }
}

对于Microsoft Access，参数是基于位置且未命名的，您应该使用

？

作为占位符符号，尽管如果使用名称参数，只要它们的顺序相同，代码也可以使用

有关详细信息，请参阅文档

评论当CommandType设置为Text时，OLE DB.NET提供程序不支持将参数传递给SQL语句或OleDbCommand调用的存储过程的命名参数。在这种情况下，必须使用问号（？）占位符。例如：

SELECT * FROM Customers WHERE CustomerID = ?

因此，OLEDBPParameter对象添加到OLEDBPParameterCollection的顺序必须直接对应于命令文本中参数的问号占位符的位置

确保包括将使用参数的预期架构类型和架构长度（如果适用）

我还建议您在类型实现

IDisposable

的实例周围始终使用

using

语句，如

OleDbConnection

，以便即使代码中抛出异常，连接也始终关闭

更改代码：

var connectionStringHere = @"Provider=Microsoft.Jet.OleDb.4.0;Data Source=" + Server.MapPath("App_Data\\BookRateInitial.mdb";
using (var conn = new OleDbConnection(connectionStringHere))
using (var cmd = conn.CreateCommand())
{
    cmd.CommandText = "INSERT INTO bookRated ([title], [rating],  [review], [frnISBN], [frnUserName]) VALUES(?, ?, ?, ?, ?)";
    cmd.Parameters.Add(new OleDbParameter("?", OleDbType.VarChar, 100) { Value = title});
    cmd.Parameters.Add(new OleDbParameter("?", OleDbType.Integer) { Value = rating });
    cmd.Parameters.Add(new OleDbParameter("?", OleDbType.VarChar, 2000) { Value = review });
    cmd.Parameters.Add(new OleDbParameter("?", OleDbType.VarChar, 60) { Value = ISBN });
    cmd.Parameters.Add(new OleDbParameter("?", OleDbType.VarChar, 256) { Value = userName });

    conn.Open();
    var numberOfRowsInserted = cmd.ExecuteNonQuery();
}

作为一个旁注，请记住，<代码> @ /COD>前缀使字符串为文字，意味着连接字符串跨越多个行，中间有一串空格。此外，所有的

DbCommand

实现都实现了

IDisposable

，这意味着您应该在使用后处理您的命令。只需阅读文档！这是一种不使用参数插入数据的方法。这不是推荐的方法，并且不适合sql注入。不要用那个-1@Milen：我现在没有一台可以检查的pc，但您确定命名参数（带有@prefix）不能与

OleDbCommand

一起使用吗？我知道这是一个旧线程，但值得澄清一点：“OLE DB.NET Framework数据提供程序使用带有问号（？）的位置参数Insert语句应该使用什么？而不是命名参数。这是根据MSDN文章：重要提示：对于Access数据库，必须按照参数在查询中出现的相同顺序添加参数。

var connectionStringHere = @"Provider=Microsoft.Jet.OleDb.4.0;Data Source=" + Server.MapPath("App_Data\\BookRateInitial.mdb";
using (var conn = new OleDbConnection(connectionStringHere))
using (var cmd = conn.CreateCommand())
{
    cmd.CommandText = "INSERT INTO bookRated ([title], [rating],  [review], [frnISBN], [frnUserName]) VALUES(?, ?, ?, ?, ?)";
    cmd.Parameters.Add(new OleDbParameter("?", OleDbType.VarChar, 100) { Value = title});
    cmd.Parameters.Add(new OleDbParameter("?", OleDbType.Integer) { Value = rating });
    cmd.Parameters.Add(new OleDbParameter("?", OleDbType.VarChar, 2000) { Value = review });
    cmd.Parameters.Add(new OleDbParameter("?", OleDbType.VarChar, 60) { Value = ISBN });
    cmd.Parameters.Add(new OleDbParameter("?", OleDbType.VarChar, 256) { Value = userName });

    conn.Open();
    var numberOfRowsInserted = cmd.ExecuteNonQuery();
}