执行所需操作的关键是使用参数将数据传递给SQL操作,而不是将数据转换为字符串并嵌入TSQL代码。这是一种最佳做法,不仅因为它可以防止不必要的类型转换(比如从DateTime到字符串,再到DateTime进行存储),还可以确保安全性——它确保数据库引擎只尝试将您想要作为代码的东西作为代码执行,而不是将碰巧被转义的数据作为字符串的一部分进行评估。
我最近开始了一份新工作,他们使用Vistadb,所以我不能在人们建议之前更改软件包。我从数据库中获得了一个来自不同系统中使用的图像数据类型的byte[],因此其数据类型不能从图像更改为varbinary。我已经对byte[]进行了修改,现在需要将其放回数据库中的一个新记录中,但到目前为止,我似乎还不知道SQL查询应该如何。
zz是byte[],它的其余部分运行良好,只需要一种方法将其放入我的SQL查询中
sql = "INSERT INTO TimeHistory("Data","Name","Units","ParameterData","StartTime","EndTime","StorageRate","Measurement") SELECT '" +zz+ "','" + Name + "','" + Units + "','" + ParameterData + "','" + start + "','" + end + "','" + storage + "'" + ",SELECT Max(ID)From Measurement;";
ExecuteScript(sql);
这是用c#.net使用WPF表单完成的。
在ADO.NET示例中,我们有一个很好的示例来说明如何做到这一点:ADO.NET中的常见操作如果你往下看,你会看到一个例子"使用参数化命令插入数据",它适用于任何类型,比如:
using (VistaDBConnection connection = new VistaDBConnection())
{
connection.ConnectionString = @"Data Source=C:mydatabase.vdb5";
connection.Open();
using (VistaDBCommand command = new VistaDBCommand())
{
int Age = 21;
command.Connection = connection;
command.CommandText = "INSERT INTO MyTable (MyColumn) VALUES (@age)";
command.Parameters.Add("@age", Age);
command.ExecuteNonQuery();
}
}