用c#将数据编辑成SQL
本文关键字:SQL 编辑 数据 | 更新日期: 2023-09-27 18:17:15
我有这个编辑数据的方法,但我不知道如何编写代码…到目前为止,我还没有真正理解它,我在其中有一个错误。上面写着incorrect syntax near '('
public void EditMember(Member member)
{
string Name = member.Name;
string Surname = member.Surname;
string EntryDate = member.EntryDate.ToString("dd.MM.yyyy");
string Status = member.Status;
sqlConnection.Open();
sqlCommand = new SqlCommand(
"UPDATE Members SET (Name, Surname, EntryDate) VALUES('" + Name + "','" + Surname + "','" + EntryDate + "')' WHERE'(' Id '='" + member.Id + "')",
sqlConnection);
sqlCommand.ExecuteNonQuery();
sqlConnection.Close();
}
问题是当我开始写WHERE
请帮助。
请阅读整个答案,而不仅仅是第一部分
这里有很多问题。最直接的问题在这里:
"')' WHERE'('
这就好像你要给括号加引号。"应该"是:
"') WHERE ('
在这一点上,它看起来像一个有效的(但坏的)INSERT命令…但是你使用VALUES,这看起来不像它是一个有效的方式更新在T-SQL。
但是,您根本不应该使用这种方法。它容易出错,难以阅读,最重要的是容易受到SQL注入攻击。
相反,您应该使用参数化的SQL:string sql = @"UPDATE Members
SET Name = @Name, Surname = @Surname, EntryDate = @EntryDate
WHERE Id = @Id";
using (var connection = new SqlConnection(...))
{
connection.Open();
using (var command = new SqlCommand(sql, connection))
{
command.Parameters.Add("@Name", SqlDbType.NVarChar).Value = member.Name;
command.Parameters.Add("@Surname", SqlDbType.NVarChar).Value = member.Surname;
command.Parameters.Add("@EntryDate", SqlDbType.DateTime).Value = member.EntryDate;
command.Parameters.Add("@Id", SqlDbType.NVarChar).Value = member.Id;
int rows = command.ExecuteNonQuery();
// TODO: Work out what to do if rows isn't 1
}
}
(当然要根据适当的数据类型进行调整)
您应该永远不要将您的SQL语句与用户输入连接在一起。
代替:使用参数化查询 -它们易于使用,避免SQL注入,并提高性能。
试着写这样的代码:
string updateStmt = "UPDATE dbo.Members SET Name = @Name, Surname = @Surname, EntryDate = @EntryDate WHERE Id = @ID";
sqlCommand = new SqlCommand(updateStmt, sqlConnection);
sqlCommand.Parameters.Add("@Name", SqlDbType.VarChar, 100).Value = name;
sqlCommand.Parameters.Add("@Surname", SqlDbType.VarChar, 100).Value = surname;
sqlCommand.Parameters.Add("@EntryDate", SqlDbType.DateTime).Value = entrydate;
sqlCommand.Parameters.Add("@ID", SqlDbType.Int).Value = member.Id;
sqlConnection.Open();
sqlCommand.ExecuteNonQuery();
sqlConnection.Close();
更新语句的正确语法是
"UPDATE Members SET Name = @name, Surname = @surname, EntryDate = @date WHERE id=@id"
说,你应该使用像这样的参数化查询
public void EditMember(Member member)
{
string Name = member.Name;
string Surname = member.Surname;
string EntryDate = member.EntryDate.ToString("dd.MM.yyyy");
string Status = member.Status;
sqlConnection.Open();
sqlCommand = new SqlCommand("UPDATE Members SET Name = @name, Surname = @surname, " +
"EntryDate = @date " +
"WHERE Id = @id", sqlConnection);
sqlCommand.Parameters.AddWithValue("@name", Name);
sqlCommand.Parameters.AddWithValue("@surname", Surname);
sqlCommand.Parameters.AddWithValue("@date", EntryDate);
sqlCommand.Parameters.AddWithValue("@id", Status);
sqlCommand.ExecuteNonQuery();
sqlConnection.Close();
作为附带说明,请记住AddWithValue是向查询添加参数的一种简单方法,但如果此查询的性能至关重要,则最好使用完全定义的参数,其数据类型与数据库列的类型和确切的大小完全匹配。
删除WHERE周围的引号,你应该很好。请注意SQL注入攻击的警告
你的代码有语法错误的更新和SQLInjection问题。
需要传递参数来更新查询,而不是直接传递值。
应该如下所示:
public void EditMember(Member member)
{
string Name = member.Name;
string Surname = member.Surname;
string EntryDate = member.EntryDate.ToString("dd.MM.yyyy");
string Status = member.Status;
sqlConnection.Open();
sqlCommand = new SqlCommand("UPDATE Members SET Name=@Name, Surname=@Sirname, EntryDate=@EntryDate WHERE Id = @id", sqlConnection);
sqlCommand.parameters.AddparameterWithValue("@Name",Name);
sqlCommand.parameters.AddparameterWithValue("@Surname",Surname);
sqlCommand.parameters.AddparameterWithValue("@EntryDate",EntryDate);
sqlCommand.parameters.AddparameterWithValue("@Id",Id);
sqlCommand.ExecuteNonQuery();
sqlConnection.Close();
}
编辑帖子以做出正确答案:
。在where子句中不需要括号。更好的查询是
"UPDATE Members SET Name=@Name, Surname=@Surname, EntryDate=@EntryDate WHERE Id=@ID"
然后添加@Name, @姓氏,…等通过命令对象的参数。