在 C# WinForm 应用程序中写入数据库时​​遇到问题

Posted 2023-05-07

【中文标题】在 C# WinForm 应用程序中写入数据库时​​遇到问题

【英文标题】：Trouble writing to database in C# WinForm Application

【发布时间】：2013-07-03 14:37:16

【问题描述】：

我在专业编程方面相对缺乏经验，但我正在尝试编写一个与 MS Access 数据库接口的程序。本质上，我正在收集表单中的信息，并尝试在每个条目的新行中传递信息。我有一个打开的 OleDbConnection，我的测试显示我能够看到哪一行会有新条目，但是当我点击提交按钮时，catch 中没有显示错误，但数据库保持不变。我最初将代码放在从 click 事件调用的方法中，但我只是将代码带到事件处理程序以验证问题不在于调用。

private void btnSubmit_Click(object sender, EventArgs e)
    

        if (DBConnection.State.Equals(ConnectionState.Closed))
        
            DBConnection.Open();
        

        try
        
            MessageBox.Show("Save Data at index: " + intRowPosition.ToString());

            OleDbCommand OledbInsert = new OleDbCommand("Insert INTO RetentionTable (DateTime,Center,CSP,MemberID,ContractNumber,RetentionType,RetentionTrigger,MemberReason,ActionTaken,Other) VALUES('" + DateTime.Now.ToString() + "','" + GetCenter("") + "','" + GetName("") + "','" + GetMemberID("") + "','" + GetContractNumber("") + "','" + GetType("") + "','" + GetTrigger("") + "','" + GetReason("") + "','" + GetAction("") + "', + GetOther("")," DBConnection);

            intRowPosition++;
        

        catch (Exception ex)
        
            MessageBox.Show(ex.Message.ToString());
            MessageBox.Show(ex.StackTrace.ToString());
        
        finally
        
            RefreshDBConnection();
        

    

任何关于为什么这不是写作的想法将不胜感激。

【问题讨论】：

使用'String.Format'让你的查询更容易管理msdn.microsoft.com/en-us/library/system.string.format.aspx

好吧，你有多个问题，但please use parameters 而不是构建 SQL 字符串！

【参考方案1】：

你上面的代码有很多问题。

首先，应该执行一个命令，而不是简单地声明。 （这就是数据库没有被修改的原因） 其次，你在语句中使用保留关键字（所以即使你执行你的语句，它也会失败并抛出异常） 第三，您正在连接字符串以构建命令文本。一种 非常糟糕的举动，会使您的应用程序容易受到SQL injection 攻击 四、使用后应关闭连接

让我试着写一个替换代码

string cmdText = "Insert INTO RetentionTable " +
                "([DateTime],Center,CSP,MemberID,ContractNumber,RetentionType," + 
                "RetentionTrigger,MemberReason,ActionTaken,Other) " + 
                "VALUES(?, ?, ?, ?, ?, ?, ?, ?, ?, ?)";
 using(OleDbConnection cn = new OleDbConnection(conString))
 using(OleDbCommand cmd = new OleDbCommand(cmdText, cn))
 
    cmd.Parameters.AddWithValue("@p1", DateTime.Now.ToString());
    cmd.Parameters.AddWithValue("@p2", GetCenter("")); 
    cmd.Parameters.AddWithValue("@p3", GetName(""));
    cmd.Parameters.AddWithValue("@p4", GetMemberID(""));
    cmd.Parameters.AddWithValue("@p5", GetContractNumber(""));
    cmd.Parameters.AddWithValue("@p6", GetType("")); 
    cmd.Parameters.AddWithValue("@p7", GetTrigger(""));
    cmd.Parameters.AddWithValue("@p8", GetReason(""));
    cmd.Parameters.AddWithValue("@p9", GetAction(""));
    cmd.Parameters.AddWithValue("@p10", GetOther(""));
    cmd.ExecuteNonQuery();
 

DATETIME 是 Access 中的保留关键字，因此，如果要将其用于列名，则需要将其括在方括号中。

字符串连接在 MSAccess 中是一种不好的做法，但在其他数据库中它是一个致命缺陷，您的代码可以用于 Sql Injections（在 Access 中更难但并非不可能）。如果您像我的示例中那样使用参数化查询，则可以消除 Sql 注入问题，而且还可以让框架代码以日期、字符串和小数所需的正确格式将正确的值传递给数据库引擎。

要考虑的另一点是没有全局 OleDbConnection 对象，而是在需要时创建、使用和销毁该对象。 Connection Pooling 将避免性能问题，并且无论出于何种原因连接失败时，您的代码都不会遭受内存泄漏

我还想补充一点，您的 GetXXXXX 方法似乎都返回字符串。请记住，这些方法应返回与您要写入的底层数据库字段兼容的值

【讨论】：

您可以解释您的第一个项目是如何完成的，您在第二个点中引用了哪些保留关键字，以及为什么您的第三个项目是不好的举动以及好的举动是什么。这样可能是一个更有成效的答案。只是一些建议。

@Tombala，等一下。这是一个很长的答案

只是几件事。首先，（非常次要）值字符串的第二个 " 和 ) 颠倒了。容易修复。我遇到的问题是它告诉我“当前上下文中不存在名称 'conString'。”怎么能那我解决这个问题？再一次，我有点成熟......

conString 变量应该包含你真正的连接字符串（通常在文件配置中定义）

哇，非常感谢。我知道我有很多东西要学，但是你们提供了很多帮助。我将基于另一个链接到 mdb 的教程，这让我陷入了一个难以摆脱的困境。我的程序运行良好，麻烦少得多。很高兴我加入了 ***。我将来会回来的。希望有一天我可以贡献自己的答案，但现在。我会尽可能多地吸收。老实说，你不知道我是多么松了一口气，这是正常的。谢谢十亿！

【参考方案2】：

这可能是您要放入数据库的值周围的语音标记。尝试改为撇号。

无论如何，我强烈建议将最终的 SQL 存储在字符串中并将其打印到日志文件或屏幕上，然后将其复制到 Access SQL 编辑器并尝试运行它。然后你会看到是否有错误以及它是什么。