【问题标题】:What am I doing wrong with this C# .NET WinForms application?我对这个 C# .NET WinForms 应用程序做错了什么?
【发布时间】:2018-06-27 22:22:40
【问题描述】:

我正在尝试编辑 Access DB_。由于某种原因,我无法插入任何东西。我相信我的代码是正确的。连接字符串是正确的(尽管出于安全目的,我为这篇文章放了一个假的)。最后,我没有得到MessageBox,就像我应该在函数结束时那样。 Access DB 中也没有添加任何内容。

这可能是什么原因?

namespace TestBuild
{
    public partial class Form1 : Form
    {

        OleDbConnection con = new OleDbConnection(@"Provider=Microsoft.ACE.OLEDB.12.0;Data Source=C:\Users...\Documents\TestDB.accdb");

        public Form1()
        {
            InitializeComponent();
        }
        private void Button1_Click(object sender, EventArgs e)
        {

            con.Open();
            OleDbCommand cmd = con.CreateCommand();
            cmd.CommandType = CommandType.Text;
            cmd.CommandText = "insert into table1 values('"+textBox1.Text+"','"+textBox2.Text+"')";
            cmd.ExecuteNonQuery();
            con.Close();
            MessageBox.Show("record inserted successfully");  
        }
    }
}

【问题讨论】:

  • 添加一个try/catch,看看有没有抛出异常。或者在调试模式下运行您的代码并单步执行...
  • 您确定您的事件处理程序已被调用吗?如果您对该代码没有任何异常,那么您的代码可能尚未被调用。在第一行放置一个断点并确认您的事件处理程序运行
  • 如果您不想使用调试器,请在该单击处理程序的第一行添加一个消息框调用:单击按钮时是否看到该消息?
  • @arekenny3 - 一切顺利吗?您是否重构以添加 try/catch 块(重要)?您是否能够单步执行代码并确定确切的故障点?使用调试器,您是否确认实际调用了 Button1_Click()?

标签: c# database winforms ms-access


【解决方案1】:

建议 - 请考虑按如下方式重构您的代码,并在 MSVS 调试器中一次一行地逐步执行:

    string connString = @"Provider=Microsoft.ACE.OLEDB.12.0;Data Source=C:\Users...\Documents\TestDB.accdb";

    private void Button1_Click(object sender, EventArgs e)
    {
        string sql = "insert into table1 values('" + textBox1.Text + "','" + textBox2.Text + "')";
        OleDbCommand cmd= new OleDbCommand(sql);
        using (OleDbConnection con = new OleDbConnection(connString)) {
            cmd.Connection = conn;
            try
            {
                con.Open();
                cmd.ExecuteNonQuery();
                MessageBox.Show("record inserted successfully");
            }
            catch (Exception ex)
            {
                MessageBox.Show("ERROR" + ex.Message);
            }
        }
   }

PS:

如果你想使用准备好的语句,你可以把你的代码改成这样:

string sql = "insert into table1 values(@param1, @param2)";
...
cmd.Parameters.AddWithValue("@param1", textBox1.Text);
cmd.Parameters.AddWithValue("@param1", textBox2.Text);
con.Open();
cmd.Prepare();     
cmd.ExecuteNonQuery();

您可以在此处阅读有关缓解 SQL 注入的技术和指南的更多信息:

https://www.owasp.org/index.php/SQL_Injection_Prevention_Cheat_Sheet

这是另一篇好文章:

Best Practices for Using ADO.NET (MSDN)

【讨论】:

  • 这段代码和原始代码一样容易受到Sql注入的攻击。
  • 同意 StuartD,编辑答案以将参数化版本作为唯一选项。 cmd 也是 IDisposable 所以应该在 using 块中。你可能想看看Can we stop using AddWithValue
猜你喜欢
  • 2022-01-16
  • 1970-01-01
  • 2014-02-27
  • 1970-01-01
  • 1970-01-01
  • 1970-01-01
  • 1970-01-01
  • 2016-06-10
  • 1970-01-01
相关资源
最近更新 更多