Как вставить данные в SQL Server

Question

Как вставить данные в SQL Server

В чем проблема с моим кодированием? Я не могу вставить данные в MS SQL.. Я использую C# в качестве внешнего интерфейса и MS SQL в качестве базы данных...

name = tbName.Text;
userId = tbStaffId.Text;
idDepart = int.Parse(cbDepart.SelectedValue.ToString());

string saveStaff = "INSERT into tbl_staff (staffName,userID,idDepartment) " +
                   " VALUES ('" + name + "', '" + userId +"', '" + idDepart + "');";

SqlCommand querySaveStaff = new SqlCommand(saveStaff);

try
{
querySaveStaff.ExecuteNonQuery();
}
catch
{
//Error when save data

MessageBox.Show("Error to save on database");
openCon.Close();
Cursor = Cursors.Arrow;
}

26

c# sql sql-server

Источник

user1642583 03 сен '12 в 01:34

3 ответа

Решение

Я думаю, что вам не хватает пройти Connection возражать против вашего command объект. и намного лучше, если вы будете использовать command а также parameters для этого.

using (SqlConnection connection = new SqlConnection("ConnectionStringHere"))
{
    using (SqlCommand command = new SqlCommand())
    {
        command.Connection = connection;            // <== lacking
        command.CommandType = CommandType.Text;
        command.CommandText = "INSERT into tbl_staff (staffName, userID, idDepartment) VALUES (@staffName, @userID, @idDepart)";
        command.Parameters.AddWithValue("@staffName", name);
        command.Parameters.AddWithValue("@userID", userId);
        command.Parameters.AddWithValue("@idDepart", idDepart);

        try
        {
            connection.Open();
            int recordsAffected = command.ExecuteNonQuery();
        }
        catch(SqlException)
        {
            // error here
        }
        finally
        {
            connection.Close();
        }
    }
}

36

Источник

user491243 03 сен '12 в 01:43

string saveStaff = "INSERT into student (stud_id,stud_name) " + " VALUES ('" + SI+ "', '" + SN + "');";
cmd = new SqlCommand(saveStaff,con);
cmd.ExecuteNonQuery();

-4

Источник

user3133280 24 дек '13 в 19:18

Другие вопросы по тегам c# sql sql-server

user142822 03 сен '12 в 01:42 2012-09-03 01:42 · Accepted Answer · 2012-09-03 01:42

Вы должны установить свойство Connection объекта Command и использовать параметризованный запрос вместо жесткого кода SQL, чтобы избежать SQL-инъекции.

 using(SqlConnection openCon=new SqlConnection("your_connection_String"))
    {
      string saveStaff = "INSERT into tbl_staff (staffName,userID,idDepartment) VALUES (@staffName,@userID,@idDepartment)";

      using(SqlCommand querySaveStaff = new SqlCommand(saveStaff))
       {
         querySaveStaff.Connection=openCon;
         querySaveStaff.Parameters.Add("@staffName",SqlDbType.VarChar,30).Value=name;
         .....
         openCon.Open();


       }
     }