manish7664 Ответов: 2

Запись не вставляется в базу данных ms access

я вставляю данные по asp.net c# в базе данных ms access.
моя программа успешно работает, но записи не вставляются в базу данных
пожалуйста помочь...

Что я уже пробовал:

using System;
using System.Collections.Generic;
using System.Web;
using System.Web.UI;
using System.Web.UI.WebControls;
using System.Data.OleDb;
namespace WebApplication1
{
    public partial class _Default : System.Web.UI.Page
    {
        protected void Page_Load(object sender, EventArgs e)
        {

        }

        protected void Button1_Click(object sender, EventArgs e)
        {
                     OleDbConnection con = new OleDbConnection();
            OleDbCommand cmd = new OleDbCommand();
            
            con.ConnectionString=@"Provider=Microsoft.ACE.OLEDB.12.0;Data Source=C:\Users\manish\Desktop\myprogram\demo.accdb;User ID=admin";
            cmd.Connection = con;
            string sql="insert into data1(name,lastname)values(" + txtfirstname.Text + "," + txtlastname.Text + ")";
            try{

               con.Open();
               cmd.CommandText = sql;
                cmd.ExecuteNonQuery();
                con.Close();
            }
            catch(Exception)
            {
                con.Close();

            }
        }
    }
}

2 Ответов

Рейтинг:
1

Maciej Los

Ваш код таков SQL-инъекция[^] уязвимый.
Вы должны использовать параметризованный запрос[^] вместо запроса на конкатенацию строк! Вот пример кода: Объект oledbcommand.Свойство Параметров (System.Data.Для oledb)[^]

С другой стороны, ваша строка подключения кажется неправильной. Пожалуйста, проверьте это: Строки подключения доступа - ConnectionStrings.com[^]

Рейтинг:
0

OriginalGriff

1) не жестко кодируйте строки подключения: он всегда вернется, чтобы укусить вас позже. Всегда используйте конфигурационный файл для их хранения. Таким образом, вы можете изменить их по мере необходимости, когда вы выпускаете код для других людей.

2) всегда относитесь к связям, командам и подобным объектам как к дефицитным ресурсам и избавляйтесь от них, когда закончите с ними. Один using block-Это самый простой способ сделать это, поскольку он автоматически вызывает Dispose, когда объект выходит из области видимости.

3) Никогда не объединяйте строки для построения SQL-команды. Это оставляет вас широко открытыми для случайной или преднамеренной атаки SQL-инъекции, которая может уничтожить всю вашу базу данных. Вместо этого используйте параметризованные запросы.

Когда вы объединяете строки, вы вызываете проблемы, потому что SQL получает такие команды, как:

SELECT * FROM MyTable WHERE StreetAddress = 'Baker's Wood'
Цитата, добавленная пользователем, завершает строку в том, что касается SQL, и вы получаете проблемы. Но могло быть и хуже. Если я приду и наберу вместо этого: "x';DROP TABLE MyTable;--", то SQL получит совсем другую команду:
SELECT * FROM MyTable WHERE StreetAddress = 'x';DROP TABLE MyTable;--'
Которые SQL видит как три отдельные команды:
SELECT * FROM MyTable WHERE StreetAddress = 'x';
Совершенно правильный выбор
DROP TABLE MyTable;
Вполне допустимая команда "удалить таблицу" 
--'
А все остальное-это комментарии.
Так оно и происходит: выбирает любые совпадающие строки, удаляет таблицу из базы данных и игнорирует все остальное.

Поэтому всегда используйте параметризованные запросы! Или будьте готовы часто восстанавливать свою БД из резервной копии. Вы ведь регулярно делаете резервные копии, не так ли?

4) Никогда не проглатывайте исключения - это означает, что основные данные, необходимые для устранения проблемы, выбрасываются - это означает, что вы никогда не используете это:
catch(Exception)
потому что у вас нет доступа к тому, что было исключением, и к сообщению, которое говорит вам, почему система вышла из строя. Вместо этого используйте это:
catch(Excpetion ex)
и используйте журнал или даже MessageBox для отображения сообщения об ошибке, содержащегося в объекте исключения. Таким образом, вы узнаете, в чем проблема, и сможете ее решить...