为什么我的更新查询在带有 sql server 的 c# 中不起作用?

【问题标题】:Why does my update query doesnt work in c# with sql server?为什么我的更新查询在带有 sql server 的 c# 中不起作用?
【发布时间】:2019-11-20 22:55:57
【问题描述】:

当我尝试更新我的数据库时,它会在到达日期时间列时崩溃。

这是我正在尝试执行的函数(pub Date 是它崩溃的地方):

        public void UpdateDatabase(List<Title> titleList, List<Author> authorList, List<Publisher> publisherList)
        {
            using (IDbConnection connection = new System.Data.SqlClient.SqlConnection(Helper.CnnVal("CsharpMD3")))
            {
                foreach (var item in titleList)
                {

                    connection.Execute($"update titles Set title='{item.title}', titleType='{item.TitleType}', price='{item.Price}' , pubdate=cast({item.PubDate.Year}{item.PubDate.Month}{item.PubDate.Day} as datetime2) , pubID='{item.PubID}' where ID={item.ID}");                    
                }
            }
        }

我尝试将其转换为 datetime2/datetime,我尝试使用转换函数

CONVERT(datetime, mydate, 112)

我试图只输入整个日期,但是当它开始读取时间时也会崩溃。 我试过这个:

connection.Execute($"update titles Set title='{item.title}', titleType='{item.TitleType}', price='{item.Price}' , pubdate='{item.PubDate.Year}{item.PubDate.Month}{item.PubDate.Day}' , pubID='{item.PubID}' where ID={item.ID}");

我也尝试添加和删除撇号。

我得到的主要错误是:算术溢出错误将表达式转换为数据类型日期时间。 and : 从字符串转换日期和/或时间时转换失败。

奇怪的是,当我尝试在数据库中创建(插入)一个新项目时它会起作用 如果我在 sql 本身中键入命令并将变量名更改为数字,它也可以工作:

        public void InsertTitle(Title toInsert)
        {
            using (IDbConnection connection = new System.Data.SqlClient.SqlConnection(Helper.CnnVal("CsharpMD3")))
            {
                connection.Execute($"insert into dbo.titles (title, titleType, price, pubdate, pubID) VALUES ('{toInsert.title}' , '{toInsert.TitleType}', '{toInsert.Price}', '{toInsert.PubDate.Year}{toInsert.PubDate.Month}{toInsert.PubDate.Day}', '{toInsert.PubID}')");
            }
        }

我也尝试过参数化的 sql 命令,但对我来说不起作用,所以我只想弄清楚为什么更新功能不起作用。

如果我只更改年份而不是月份或日期,它也可以工作!

【问题讨论】:

  • 哎呀,这很可怕——容易受到 sql 注入问题的影响。
  • 我想更好地了解为什么尝试了参数化命令,但这对我没有用 正如您现在所做的那样,除了 sql 注入问题之外,您将所有内容都作为字符串传递您的代码可能会因简单的解析错误而失败,如果您的标题值包含单引号怎么办?如果字段与属性具有相同的名称,也可以使用 dapper 将对象简单地传递给执行命令

标签: c# sql ssms


【解决方案1】:

这将解决问题,并修复原始安全漏洞:

public void UpdateDatabase(IEnumerable<Title> titleList)
{
    string sql = "update titles Set title= @title, titleType= @titleType, price= @price , pubdate= @pubDate , pubID= @pubID where ID= @ID";

    using (var connection = new SqlConnection(Helper.CnnVal("CsharpMD3")))
    using (var command = new SqlCommand(sql, connection))
    {
        //Use actual column types and lengths from the DB here.
        // I had to guess, but you can look them up.
        command.Parameters.Add("@title", SqlDbType.NVarChar, 100);
        command.Parameters.Add("@titleType", SqlDbType.NVarChar, 20);
        command.Parameters.Add("@price", SqlDbType.Decimal, 6, 2);
        command.Parameters.Add("@pubDate", SqlDbType.DateTime2);
        command.Parameters.Add("@pubID", SqlDbType.Int);
        command.Parameters.Add("@ID", SqlDbType.Int);

        connection.Open();
        foreach (var item in titleList)
        {
            command.Parameters["@title"].Value = item.title;
            command.Parameters["@titleType"].Value = item.TitleType;
            command.Parameters["@price"].Value = item.Price;
            command.Parameters["@pubDate"].Value = item.PubDate;
            command.Parameters["@pubID"].Value = item.PubID;
            command.Parameters["@ID"].Value = item.ID;
            command.ExecuteNonQuery();                
        }
    }
}

和插入函数:

public int InsertTitle(Title toInsert)
{
    string sql = "insert into dbo.titles (title, titleType, price, pubdate, pubID) VALUES (@title, @titleType, @price, @pubDate, @pubID);select scope_identity();";

    using (var connection = new SqlConnection(Helper.CnnVal("CsharpMD3")))
    using (var command = new SqlCommand(sql, connection))
    {
        command.Parameters.Add("@title", SqlDbType.NVarChar, 100).Value = toInsert.title;
        command.Parameters.Add("@titleType", SqlDbType.NVarChar, 20).Value = toInsert.titleType;
        command.Parameters.Add("@price", SqlDbType.Decimal, 6, 2).Value = toInsert.Price;
        command.Parameters.Add("@pubDate", SqlDbType.DateTime2).Value = toInsert.PubDate;
        command.Parameters.Add("@pubID", SqlDbType.Int).Value = toInsert.PubID;

        connection.Open();
        toInsert.ID = (int)command.ExecuteScalar();
        return toInsert.ID;
    }
}

这是一个很好的经验法则,如果您发现自己尝试格式化日期值以用于来自 any 客户端语言平台的 SQL 字符串,那么您正在做一些 严重错误的事情

至于最初的问题...我希望您在最终创建无意义的日期字符串的地方有个位数的值,例如2019123。那可能是 1 月 23 日或 12 月 3 日,没有办法知道是哪一天。

【讨论】:

  • 谢谢。它起作用了,为什么我的原始方法不适用于个位数日期也是有道理的。
猜你喜欢
  • 1970-01-01
  • 1970-01-01
  • 1970-01-01
  • 1970-01-01
  • 1970-01-01
  • 1970-01-01
  • 2015-09-05
  • 1970-01-01
  • 1970-01-01
相关资源
最近更新 更多
热门标签
Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode