如何使用C#.net更新表中的数据
本文关键字:数据 更新 何使用 net | 更新日期: 2023-09-27 18:28:18
我打开了一个表单,它在复选框中加载了一些数据(如用户名、CNIC、联系号码等),现在我想以这样的方式更新数据,我只需更改文本框中的文本,然后单击保存更改即可保存它。我已经尝试过了,但无法以正确的方式完成。
让我向你展示我是如何编码的,我在frmViewformList保存更改按钮中所做的代码是:
private void btnSaveChanges_Click(object sender, EventArgs e)
{
string sql;
string UserName;
UserName = txtUserName.Text; // saving data loaded on run time to UserName
sql = "";
sql += "UPDATE UserLogin";
sql += "SET Name = "+ //how to access data I've changed in TextBox after loading +"";
sql += "WHERE Name= " + //how to access data which was in text box right after loading + ""; //
}
我有点困惑于如何引用数据,比如文本框中已经存在的名称或我更改的名称,以及如何在SQL查询中写入它。。。
我知道这个问题有点令人困惑。让我解释一下;表单被加载,有一些文本框在加载事件中填充了数据库中的数据,我更改了文本框中的数据并单击保存,这样更新查询就会运行并更改数据库中的信息。我无法在这里创建如何做到这一点的逻辑,任何人都能帮助我吗?很抱歉,我是C#的新开发人员,这就是为什么我有点困惑。
您应该使用Sql参数来避免Sql注入,因为Sql注入可能会使您的数据库容易受到恶意攻击。
最好将执行更新的逻辑与创建查询的逻辑分开,这样就不必重复代码,也可以更容易地维护代码。
这里有一个你可以参考的例子:
public void DoWork()
{
// Build Query Use @Name Parameters instead of direct values to prevent SQL Injection
StringBuilder sql = new StringBuilder();
sql.Append("UPDATE UserLogin");
sql.Append("SET Name = @UpdatedName");
sql.Append("WHERE Name = @Name");
// Create parameters with the value you want to pass to SQL
SqlParameter name = new SqlParameter("@Name", "whatEverOldNameWas");
SqlParameter updatedName = new SqlParameter("@UpdatedName", txtUserName.Text);
Update(sql.ToString(), new [] { name, updatedName });
}
private static readonly string connectionString = "Your connection string"
private static readonly DbProviderFactory factory = DbProviderFactories.GetFactory("System.Data.SqlClient");
public static int Update(string sql, SqlParameter[] parameters)
{
try
{
using (DbConnection connection = factory.CreateConnection())
{
connection.ConnectionString = connectionString;
using (DbCommand command = factory.CreateCommand())
{
command.Connection = connection;
command.CommandText = sql;
foreach (var parameter in parameters)
{
if (parameter != null)
command.Parameters.Add(parameter);
}
connection.Open();
return command.ExecuteNonQuery();
}
}
}
catch (Exception)
{
throw;
}
}
您将希望从输入中去掉所有的'、"和`字符,这样人们就无法注入SQL。当您执行SET Name = " +时,您将希望实际将包含的所有字符括在引号中,因为它是一个字符串:SET Name = '" + UserName "' " +...
这可能最好使用
string.Format("UPDATE UserLogin SET Name = '{0}' WHERE Name = '{1}'", UserName, FormerUserName);
然后,您将通过using System.Data.SqlClient;执行查询,然后使用SqlConnection建立与服务器的连接,并执行某种类型的SqlCommand;看看:http://www.codeproject.com/Articles/4416/Beginners-guide-to-accessing-SQL-Server-through-C
以下是使用ADO.NET并假定SQL Server数据库将数据插入数据库的代码片段。
在你的.cs文件的顶部,你应该有。
using System.Data.SqlClient; // for sql server for other data bases you should use OleClient instead.
在您的按钮点击事件中,您可以放置以下内容。
// to know how to get the right connection string please check this site: http://www.connectionstrings.com
string connString = "database connection string here";
using (SqlConnection con = new SqlConnection(connString))
{
con.Open();
//insert text into db
string sql_insert = "INSERT INTO ....."; // Use parameters here.
SqlCommand cmd_insert = new SqlCommand(sql_insert, con);
int rowsAffected = cmd_insert.ExecuteNonQuery();
}
希望这足以让你开始。