利用参数将数据插入 Access 数据库
直接使用硬编码参数插入 Access 数据库数据可能导致问题,尤其是在处理包含单引号的文本时。为了解决这个问题,可以在查询中使用参数代替直接的字符串值。
步骤 1:用占位符替换硬编码参数
在提供的代码中,将 INSERT 查询中的每个硬编码参数替换为以“@”为前缀的占位符。例如:
<code>cmd.CommandText = "INSERT INTO bookRated([title], [rating], [review], [frnISBN], [frnUserName])VALUES('@title', '@rating','@review','@ISBN', '@userName')";</code>步骤 2:向 DbCommand 添加 OleDbParameters
创建 OleDbParameter 实例并将其添加到 DbCommand.Parameters 属性。参数名称应与查询中使用的占位符名称匹配:
<code>cmd.Parameters.AddRange(new OleDbParameter[]
{
new OleDbParameter("@title", title),
new OleDbParameter("@rating", rating),
...
});</code>修改后的代码:
<code>[WebMethod]
public void bookRatedAdd(string title, int rating, string review, string ISBN, string userName)
{
using (OleDbConnection conn = new OleDbConnection(
"Provider=Microsoft.Jet.OleDb.4.0;"+
"Data Source="+Server.MapPath("App_Data\BookRateInitial.mdb"));
{
conn.Open();
// DbCommand 也实现了 IDisposable 接口
using (OleDbCommand cmd = conn.CreateCommand())
{
// 使用占位符创建命令
cmd.CommandText =
"INSERT INTO bookRated "+
"([title], [rating], [review], [frnISBN], [frnUserName]) "+
"VALUES(@title, @rating, @review, @isbn, @username)";
// 添加命名参数
cmd.Parameters.AddRange(new OleDbParameter[]
{
new OleDbParameter("@title", title),
new OleDbParameter("@rating", rating),
// ... 其他参数
});
// 执行
cmd.ExecuteNonQuery();
}
}
}</code>通过使用参数,数据库可以正确处理单引号等特殊字符,从而确保数据完整性。
以上是如何使用参数安全地将数据插入Access数据库?的详细内容。更多信息请关注PHP中文网其他相关文章!
