插入命令字符串构建

Question

我在以下插入命令字符串中找不到错误。让我知道你是否注意到。构建这种类型的命令字符串的最佳方法是什么。如果整个字符串显示红色〜，则很难找到错误。 我用 pm 选择了每个数据值。手动以避免任何机会或错误。

cmd = new OleDbCommand("insert into ProjectMaster (ProjectCode, TransactionType, Description, Justification, RequesterName, RquesterID) values ('" +
    pm.ProjectCode + "','" + pm.TransactionType + "','" +
    pm.Description + "','" + pm.Justification + "','" +
    pm.RequesterName + "','" + pm.RequesterID  + "')", con);

    cmd.ExecuteNonQuery();

Answer 1

构建这种类型的命令字符串的最佳方法是什么。

您使用参数化 SQL。 不 像这样将要使用的值连接到 SQL 中。它使您面临 SQL 注入攻击、转换错误和通常混乱的代码。

您使用的代码如下：

// Obviously fill in the "..." with the rest of the fields you need to use
string sql = "INSERT INTO ProjectMaster (ProjectCode, TransactionType, ...) "
           + "VALUES (@ProjectCode, @TransactionType, ...)";
using (var connection = new SqlConnection(...))
{
    connection.Open();
    using (var command = new SqlCommand(sql, connection))
    {
        // Check the parameter types! We don't know what they're meant to be
        command.Parameters.Add("@ProjectCode", SqlType.NVarChar).Value = ...;
        command.Parameters.Add("@TransactionType", SqlType.NVarChar).Value = ...;
        ...
        command.ExecuteNonQuery();
    }
}

另外，请考虑使用 ORM 而不是原始 SQL。

Answer 2

我认为你的错误可能在这里

pm.ResourceCount + "','" + pm.IssueFlag) + "')"

应该是

pm.ResourceCount + "','" + pm.IssueFlag + "')")

基本上，看起来您在添加结束括号之前关闭了命令字符串。不过，正如其他人所建议的那样，使用参数化 SQL 或其他数据访问技术，而不是庞大的 SQL 字符串。

Answer 3

如果您遇到必须编写在运行时构建字段列表的“通用代码”的情况。您仍然不应该按照您的方式编写代码（由于 SQL 注入等原因）。

这个previous answer有一些有用的建议，Linq版本其实很简单有用