从类调用方法时,将数据输入参数化
本文关键字:数据 输入 参数 调用 方法 | 更新日期: 2023-09-27 18:07:06
我试图通过WPF窗口插入一些数据,我想参数化输入。我该怎么做呢?我的代码到目前为止:
public int insertdetails(string query)
{
SqlTransaction trans = null;
try
{
trans = getconnection().BeginTransaction("trInsert");
SqlCommand cmd = new SqlCommand("", con, trans);
cmd.CommandText = query;
int a = cmd.ExecuteNonQuery();
if (a > 0)
{
trans.Commit();
return 1;
}
else
{
trans.Rollback("trInsert");
return 0;
}
//....below is the code for button save....//
dataaccess da = new dataaccess(); //..this is a class with insert method..//
res = da.insertdetails("insert into staff_table values ('" + txtid.text + "','"+ txtname.text + "','" + txtlname.text + "'");
if(res > 0)
messagebox.show("saved!");
else
messagebox.show("error!");
使用SqlParameter参数化SqlCommand查询的可能解决方案如下所示:
首先为重复代码创建一个通用方法,以创建SqlParameter对象(在您的示例中,看起来所有参数都是string/varchar类型):
public SqlParameter createParameter(string name, string value)
{
// create the named parameter
var sqlParameter = new SqlParameter(name, SqlDbType.VarChar);
// set the desired value
sqlParameter.Value = value;
return sqlParameter;
}
然后将sql命令编写为普通查询,将参数名称作为palceholder,并在执行之前将参数添加到SqlCommand对象中:
dataaccess da = new dataaccess();
var sqlQuery = new SqlCommand("insert into staff_table values ('@id','@name','@lname')");
sqlQuery.Parameters.Add(createParameter("id", txtid.text));
sqlQuery.Parameters.Add(createParameter("name", txtname.text));
sqlQuery.Parameters.Add(createParameter("lname", txtlname.text));
res = da.insertdetails(sqlQuery);
if(res > 0)
messagebox.show("saved!");
else
messagebox.show("error!");
@符号表示sql查询中的参数。ADO。. NET框架在参数列表中搜索该名称,并用转义后的值替换任何出现的名称。您的代码对sql注入尝试是安全的。您可能必须稍微更改insertdetails方法,以便仅将查询和参数或SqlCommand作为参数,而不仅仅是sql查询。
你有很多选择。一种是将query参数更改为SqlCommand:
public int insertdetails(SqlCommand cmd)
{
SqlTransaction trans = null;
try
{
trans = getconnection().BeginTransaction("trInsert");
cmd.Transaction = trans;
int a = cmd.ExecuteNonQuery();
if (a > 0)
{
trans.Commit();
return 1;
}
else
{
trans.Rollback("trInsert");
return 0;
}
现在您可以使用我的答案中的其他代码。另一种可能性是更改代码,如@user3185569的答案。
你是说字符串吗?格式吗?
da.insertdetails(String.Format("insert into staff_table values ('{0}','{1}','{2}')",txtid.text,txtname.text,txtlname.text));
在c# 6中,您可以使用字符串插值功能,将$放在字符串的开头。
da.insertdetails($"insert into staff_table values ('{txtid.text}','{txtname.text}','{txtlname.text}')");
您需要替换insertdetails方法来接受参数和命令。使用SqlParameter类是避免sql注入的方法:
用法:
insertdetails("insert into staff_table", "A", "B", "C");
或
insertdetails("insert into staff_table (col1, col2)", "A", "B");
代码:
public int insertdetails(string command, params string[] parameters)
{
SqlTransaction trans = null;
try
{
trans = getconnection().BeginTransaction("trInsert");
SqlCommand sqlCom = new SqlCommand()
{
Connection = con,
Transaction = trans
};
// Start Building the Parameterized Command
string insertedValues = String.Empty;
if (parameters.Any())
{
int counter = 1;
foreach (var paramVal in parameters)
{
string paramName = "@param" + counter++;
sqlCom.Parameters.AddWithValue(paramName, paramVal);
insertedValues += paramName + ",";
}
insertedValues = insertedValues.TrimEnd(',');
insertedValues = String.Format(" VALUES ( {0} )", insertedValues);
}
sqlCom.CommandText = String.Format("{0} {1}", command, insertedValues);
int resCount = sqlCom.ExecuteNonQuery();
if (resCount > 0)
{
trans.Commit();
return 1;
}
else
{
trans.Rollback("trInsert");
return 0;
}
}
catch (Exception ex)
{
// Exception Handling
if (trans != null)
trans.Rollback();
return 0;
}
}