将 XML 作为字符串插入 SQL 列

Question

我有一个 C# 网站，我需要能够将 XML 作为字符串直接从表单字段插入到数据库列中。我不想从 XML 中提取值，我只想将 XML 按原样作为字符串插入。

目前这会导致我的代码阻塞。

代码：

objParameter.Add(new SqlParameter("@Description", txtDesc.Text.Trim()));

表单域中的文本：

<note>
<to>Me</to>
<from>You</from>
<heading>Reminder</heading>
<body>Don't forget to buy milk.</body>
</note>

Answer 1

您必须先将参数添加到命令中，然后才能设置值，如下面的代码

SqlCommand cmd = new SqlCommand();
cmd.Parameters.Add("@Description", typeof(string));

Answer 2

这是我对正在发生的事情的猜测。可能是 Asp.Net 请求验证不允许您发布 xml，因为它认为它很危险。您可以禁用验证，但不应该这样做。你可以做几件事，可能 html 编码是你最好的选择：

string theXml = "";
if(txtDesc.Text != null)
{
    theXml = System.Net.WebUtility.HtmlEncode(txtDesc.Text.Trim());
    objParameter.Add(new SqlParameter("@Description", theXml));
}

Answer 3

我如何理解您需要在数据库列中插入 xml 数据作为字符串。 我写了以下示例：

// xmlData from form
string xmlData = "<note> <to>Me</to> <from>You</from> <heading>Reminder</heading> <body>Don\'t forget to buy milk.</body> </note>";

// this replace is necessary because we need two apostrophe ('') to avoid sql syntax error.
// Also is necessary to filter xml data for SQL Injection
string filteredXmlData = xmlData.Replace("'", "''"); 

string CS= @"Data Source=(LocalDB)\v11.0;AttachDbFilename=c:\TestProjects\Database.mdf;Integrated Security=True";
SqlConnection sqlCon= new SqlConnection(CS);
SqlCommand cmd = new SqlCommand("INSERT INTO MyTable (MyCol) values (@paramValue)", sqlCon);
cmd.Parameters.Add(new SqlParameter("@paramValue", filteredXmlData));

sqlCon.Open();
int rowsAffected = cmd.ExecuteNonQuery();
sqlCon.Close();

Answer 4

您使用的数据库中很可能存在 xml 数据类型（sql server、mysql、postgres、oracle）。我意识到您发布了您不想从 xml 中提取数据，但在未来，能够在数据库层提取数据可能会很有趣。只是一个想法。