我正在尝试编辑访问DB_。由于某种原因,我无法插入任何东西。 我相信我的代码是正确的。连接字符串是正确的(尽管出于安全目的,我为这篇文章放了一个假的(。最后,我没有得到函数结束时应有的MessageBox。访问数据库也没有添加任何内容。
为什么会这样?
namespace TestBuild
{
public partial class Form1 : Form
{
OleDbConnection con = new OleDbConnection(@"Provider=Microsoft.ACE.OLEDB.12.0;Data Source=C:Users...DocumentsTestDB.accdb");
public Form1()
{
InitializeComponent();
}
private void Button1_Click(object sender, EventArgs e)
{
con.Open();
OleDbCommand cmd = con.CreateCommand();
cmd.CommandType = CommandType.Text;
cmd.CommandText = "insert into table1 values('"+textBox1.Text+"','"+textBox2.Text+"')";
cmd.ExecuteNonQuery();
con.Close();
MessageBox.Show("record inserted successfully");
}
}
}
建议 - 请考虑按如下方式重构代码,并在 MSVS 调试器中逐行执行代码:
string connString = @"Provider=Microsoft.ACE.OLEDB.12.0;Data Source=C:Users...DocumentsTestDB.accdb";
private void Button1_Click(object sender, EventArgs e)
{
string sql = "insert into table1 values('" + textBox1.Text + "','" + textBox2.Text + "')";
OleDbCommand cmd= new OleDbCommand(sql);
using (OleDbConnection con = new OleDbConnection(connString)) {
cmd.Connection = conn;
try
{
con.Open();
cmd.ExecuteNonQuery();
MessageBox.Show("record inserted successfully");
}
catch (Exception ex)
{
MessageBox.Show("ERROR" + ex.Message);
}
}
}
附注:
如果要使用预准备语句,可以将代码更改为如下所示的内容:
string sql = "insert into table1 values(@param1, @param2)";
...
cmd.Parameters.AddWithValue("@param1", textBox1.Text);
cmd.Parameters.AddWithValue("@param1", textBox2.Text);
con.Open();
cmd.Prepare();
cmd.ExecuteNonQuery();
您可以在此处阅读有关缓解 SQL 注入的技术和指南的更多信息:
https://www.owasp.org/index.php/SQL_Injection_Prevention_Cheat_Sheet
这是另一篇好文章:
使用 ADO.NET 的最佳做法 (MSDN(