本地数据库的 SqlCommand 连接字符串

Question

我正在尝试在 VS Express for Web 2013 中创建一个可以与数据库“部件”交互的简单网站。我的数据库存储在 app_data 文件夹中。我可以在服务器资源管理器中查看连接，这意味着连接字符串已保存。但是，以下代码会引发 2 个错误：

1. 错误 13 'System.Data.SqlClient.SqlCommand.SqlCommand(string, System.Data.SqlClient.SqlConnection)' 的最佳重载方法匹配有一些无效参数
2. 错误 14 参数 2：无法从“字符串”转换为“System.Data.SqlClient.SqlConnection”

我不知道如何解决这个问题。这是我的 C# 代码：

using System;
using System.Collections.Generic;
using System.Data.SqlClient;
using System.Linq;
using System.Web;
using System.Web.UI;
using System.Web.UI.WebControls;

public partial class _Default : System.Web.UI.Page
{
    protected void insertButton_Click(object sender, EventArgs e)
    {
        string connstring =     System.Configuration.ConfigurationManager.ConnectionStrings["connect"].ConnectionString;
        SqlCommand cmd = new SqlCommand("INSERT INTO PARTS VALUES('" + nameBox.Text + "', '" + descriptionBox.Text + "', '" + quantityBox.Text + "', '" + categoryList.SelectedValue + "')", connstring);
        cmd.ExecuteNonQuery();
    }
}

我对 c# 完全陌生，所以请记住这一点。感谢您的帮助。

更新：下面的代码抛出了两个错误，两个都是：

Error   15  The name 'conn' does not exist in the current context

我是 C# 新手，但看起来代码没有任何问题。名称“conn”在上面已明确定义。

using System;
using System.Collections.Generic;
using System.Data.SqlClient;
using System.Linq;
using System.Web;
using System.Web.UI;
using System.Web.UI.WebControls;

public partial class _Default : System.Web.UI.Page
{

    protected void insertButton_Click(object sender, EventArgs e)
    {
        using (var conn = new SqlConnection(System.Configuration.ConfigurationManager.ConnectionStrings["connect"].ConnectionString))
        using (var cmd = new SqlCommand(
            "INSERT INTO PARTS VALUES(@name, @description, @quantity, @category)", conn))
        {
            cmd.Parameters.AddWithValue("name", nameBox.Text);
            cmd.Parameters.AddWithValue("description", descriptionBox.Text);
            cmd.Parameters.AddWithValue("quantity", quantityBox.Text);
            cmd.Parameters.AddWithValue("category", categoryList.SelectedValue);
            conn.Open();
            cmd.ExecuteNonQuery();
        }


    }
}

Answer 1

using(var conn = new SqlConnection(connectionString))
{
    conn.Open();
    // use conn to create the command
}

但重要的是：您的 SQL 确实非常危险。这对 SQL 注入是开放的，这是一个巨大而简单的攻击面。请参数化。

例如：

using(var conn = new SqlConnection(connectionString))
using(var cmd = new SqlCommand(
    "INSERT INTO PARTS VALUES(@name, @description, ...)", conn))
{
    cmd.Parameters.AddWithValue("name", nameBox.Text);
    cmd.Parameters.AddWithValue("description", descriptionBox.Text);
    //...
    conn.Open();
    cmd.ExecuteNonQuery();
}

（请注意，您需要自己添加一些；我没有填写完整，仅以name 和description 为例）

Answer 2

您的配置中的连接值是什么？

你可以试试

SqlConnection conn = new SqlConnection(connstring);
conn.Open();
SqlCommand cmd = new SqlCommand();
cmd.Connection = conn;

现在发出查询。

Answer 3

您需要先创建一个SqlConnection：

string connstring =     System.Configuration.ConfigurationManager.ConnectionStrings["connect"].ConnectionString;
SqlConnection conn = new SqlConnection(connstring);
SqlCommand cmd = new SqlCommand("INSERT INTO PARTS VALUES('" + nameBox.Text + "', '" + descriptionBox.Text + "', '" + quantityBox.Text + "', '" + categoryList.SelectedValue + "')"
                               , conn);
cmd.ExecuteNonQuery();

一些需要养成的早期习惯：

• 不要连接 SQL 字符串。这有几个原因，其中最重要的是易受 SQL 注入攻击的漏洞。
• 将您的连接和命令包装在using 语句中。这样可以确保在出现异常时正确关闭连接。

最终结果将类似于：

string connstring = ConfigurationManager.ConnectionStrings["connect"].ConnectionString;
using(SqlConnection conn = new SqlConnection(connstring))
{
    string sql = "INSERT INTO PARTS VALUES(@name, @description, @quantity, @categoryList)"
    using(SqlCommand cmd = new SqlCommand(sql , conn))
    {
        cmd.Parameters.AddWithValue("@name", nameBox.Text);
        ... etc.

        cmd.ExecuteNonQuery();
    }
}