c#使用参数将数据插入MySQL数据库_C#_Mysql_Parameters

c#使用参数将数据插入MySQL数据库

c# mysql parameters

c#使用参数将数据插入MySQL数据库,c#,mysql,parameters,C#,Mysql,Parameters,这可能是一个简单的解决方案，但我有一个最后期限，我不知道这里的确切问题。因此，这里的交易，我试图更新我的表使用这段代码： private void btn_opslaan_Click(object sender, EventArgs e) { string opleidingsid = "Select OpleidingsID From opleidingen Where Opleidingsnaam = '" + cb_opleiding.Text + "'"

这可能是一个简单的解决方案，但我有一个最后期限，我不知道这里的确切问题。因此，这里的交易，我试图更新我的表使用这段代码：

    private void btn_opslaan_Click(object sender, EventArgs e)
    {
        string opleidingsid = "Select OpleidingsID From opleidingen Where Opleidingsnaam = '" + cb_opleiding.Text + "'";
        MySqlCommand cmdid = new MySqlCommand(opleidingsid, dbconnect.connection);
        dbconnect.OpenConnection();
        MySqlDataReader reader = cmdid.ExecuteReader();
        reader.Read();
            int oplid = (int)reader.GetValue(0);

        cmdid.Dispose();
        reader.Close();
        sql = "UPDATE leerlingen SET Naam = '_naam', Adres = '_adres', Woonplaats = '_woonplaats', Postcode = '_postcode', Email = '_email', Telefoonnummer = '_telefoonnummer', Klas = '_klas', Ovnummer = '_ovnummer', OpleidingsID = '_opleidingsid', Startdatum = '_startdatum', Einddatum = '_einddatum' WHERE LeerlingID = '_leerlingid'";

      //  sql = "UPDATE leerlingen set Naam  = '" + txt_naam.Text + "', Adres = '" + txt_adres.Text + "', Woonplaats = '" + txt_woonplaats.Text + "', Postcode = '" + txt_postcode.Text + "', Email = '" + txt_email.Text + "', Telefoonnummer = '" + txt_telefoonnumer.Text + "', Klas = '" + txt_klas.Text + "', Ovnummer = '" + txt_ovnummer.Text + "', OpleidingsID = '" + oplID + "', Startdatum = '"+mc_startdatum.SelectionStart.Date.ToString()+"', Einddatum = '"+ mc_einddatum.SelectionStart.Date.ToString() +"' WHERE LeerlingID = '" + Int32.Parse(lbl_leerlingid.Text) + "'";
        MySqlCommand cmd = new MySqlCommand(sql, dbconnect.connection);

        cmd.Parameters.AddWithValue("_naam", txt_naam.Text);
        cmd.Parameters.AddWithValue("_adres", txt_adres.Text);
        cmd.Parameters.AddWithValue("_woonplaats", txt_woonplaats.Text);
        cmd.Parameters.AddWithValue("_postcode", txt_postcode.Text);
        cmd.Parameters.AddWithValue("_email", txt_email.Text);
        cmd.Parameters.AddWithValue("_telefoonnummer", txt_telefoonnumer.Text);
        cmd.Parameters.AddWithValue("_klas", txt_klas.Text);
        cmd.Parameters.AddWithValue("_ovnummer", txt_ovnummer.Text);
        cmd.Parameters.AddWithValue("_opleidingsid", oplid);
        cmd.Parameters.AddWithValue("_startdatum", mc_startdatum.SelectionStart.Date.ToString());
        cmd.Parameters.AddWithValue("_einddatum", mc_einddatum.SelectionStart.Date.ToString());
        cmd.Parameters.AddWithValue("_leerlingid", int.Parse(lbl_leerlingid.Text));

        try
        {
            cmd.ExecuteNonQuery();
            MessageBox.Show("opslaan gelukt");
        }
        catch (Exception error)
        {
            MessageBox.Show(error.ToString());
            throw;
        }
        dbconnect.CloseConnection();

        this.Close();

    }

我已经尝试过不使用单引号，它会给我一个错误，即column'\u leerlingid'不存在，但这是参数。。。现在，我没有得到任何错误，但它不会更新我的数据库。需要帮忙吗

注意：请忽略sql注入，在此之前，在我发现参数之前，我并不知道更多。

尝试用@符号替换您的参数，并删除单引号，如下所示：

SQL = "UPDATE leerlingen SET Naam = @naam, Adres = @adres";

cmd.Parameters.AddWithValue("@naam", txt_naam.Text);
cmd.Parameters.AddWithValue("@adres", txt_adres.Text);

当我用c#创建一个新数据时，我会这样做

//价值观

String a = "COL1ROW1", b = "COL1ROW2";

//这是mysql的代码

String query = "Insert Into tableName(Column1, Column2)values('" + a + "','" + b + "')";

//conn是您的MySQL连接

MySqlCommand cmd=新的MySqlCommand（查询，连接）

//然后执行它

cmd.ExecuteNonQuery（）

我认为你做错了，你不能像那样初始化你的MySqlCommand。一定是这样

MySqlCommand cmd;

cmd = dbconnect.createCommand();
cmd.CommandText = "UPDATE tableName SET firstname=@firstname, lastname=@lastname where id=@id";
cmd.Parameters.AddWithValue("@id", idTxt.Text);
cmd.Parameters.AddWithValue("@firstname", fName.Text);
cmd.Parameters.AddWithValue("@lastname", lName.Text);
cmd.ExecuteNonQuery();

嗨，谢谢你的回答，我这样做了，但我不会用正确的信息更新我的数据库。@JoeyDeLaat奇怪的是，我不明白为什么会失败，我以前做过。你有错误吗？没有，这也是困扰我的问题。我可以尝试使用参数创建一个insert命令，看看是否可以这样做，然后确定这是一个代码问题。你是否尝试过更改执行命令的方式？我通常做

MySQLCommand cmd=newmysqlcommand（）；cmd.Connection=dbconnect.Connection；cmd.CommandText=sqlString

@joyedelaa在这种情况下，请停止以这种方式创建数据，因为此类查询容易受到SQL注入攻击。以这种方式使用代码是一种直接导致灾难的方法。这就是为什么我在我的code.ahm中注释了这个方法。这会造成什么灾难？我总是使用这样的代码，但我没有收到任何错误或任何东西。SQL注入是一种恶意用户可以通过网页输入将SQL命令注入SQL语句的技术。注入的SQL命令可能会改变SQL语句并损害web应用程序的安全性。来源：哦？我懂了。那我想我不会再这样做了。谢谢你提供的信息。：）只是好奇-如果您正在使用这个易受SQL注入攻击的注释掉的查询，您是否获得了所需的行为？@dotnetcom是的，但对于我的作业，我必须使用参数在您的

WHERE

条件中，您在参数周围有引号：

WHERE LeerlingID='\u LeerlingID'

。这似乎是唯一的整数参数，因此不需要引号。尝试删除这些引号。我只是在这里猜测，因为我无法理解什么不起作用。我已经删除了所有的单引号，并用@替换了下划线，但我的数据库在这一点上根本不会更新。我自己从未使用过它，但您可以尝试启用探查器，并查看实际执行的查询。查看原始查询可能有助于发现问题，无论是在语法方面还是其他方面。这是一种经过验证的解决SQL Server问题的方法，因此可能对MySQL也有帮助。dbconnect是一个不包含createCommand方法的类，因此我无法调用该函数。我认为dbconnect是您的MySqlConnection。也许你可以把它改成任何你的MySQL连接；我正在使用MysqlCommand cmd=newmysqlcommand（sql，dbconnect.connection（）；ahm.maybe，但我认为这是初始化MysqlCommand的另一种方式。你已经尝试过了吗？我从我的c#教授那里得到了这种格式。