c# variable dans la commande sql

string alpha="this is text";
string sql = "INSERT INTO dokimastikospinakas (pliroforia) VALUES ('alpha')";

Qui est la bonne syntaxe pour passer un c# variable dans une commande sql?

Qu'est-ce que votre recherche vous dire? google.co.uk/search?q=c%23+variable+en+sql+commande
Voir la paramaterized exemple; stackoverflow.com/questions/32000/c-sqlclient-simplest-insert
Ce doit être le plus simple c#/sql question à réponse avec google. avez-vous fait le moindre effort?

InformationsquelleAutor redfrogsbinary | 2011-08-16

c#sql

12

Voici une méthode très simple:
```
var yourTextValue = "this is text";
using (var db = new SqlConnection()) {
    db.Open();

    var command =
        new SqlCommand("INSERT INTO dokimastikospinakas (pliroforia) VALUES (@textValue);", db);
    command.Parameters.AddWithValue("@textValue", yourTextValue);

    command.ExecuteNonQuery();
}
```
MODIFIER: Vous souhaitez réellement besoin d'une certaine chaîne de connexion pour SqlConnection constructeur, bien sûr. Et modifié les noms de variables par la demande populaire.
- Je pense que le @id nom de la variable est un peu faible, mais la réponse est correcte.
- Avec "id" pour une variable de chaîne?
- Je veux dire, car je ne sais pas ce qu'est un pliroforia est que je ne pouvais pas déduire du contexte. Je suppose que je pourrais avoir appelé la variable @phlargosmarfin à la place.
- Oui, vous pourriez avoir.. et il serait de recueillir beaucoup plus de votes pour le rire. 😉 +1
InformationsquelleAutor Yuck
3

Pour éviter les vulnérabilités d'injection sql, je recommande:
```
string alpha="this is text";
SqlCommand sqlComm = new SqlCommand();
sqlComm.CommandText = "INSERT INTO dokimastikospinakas (pliroforia) VALUES (@var)";
sqlComm.AddWithValue("@var", alpha);
```
..etc.
- sqlComm.CommandText = "INSERT INTO dokimastikospinakas (pliroforia) VALUES ('@var')" ne serait pas de travail! Vous avez besoin de sortir les citations de @var dans cet état!
- bonne prise! J'ai corrigé ça.
InformationsquelleAutor Jeremy Holovacs

Look en utilisant des requêtes paramétrées.

SqlCommand command = new SqlCommand();
command.Parameters.Add("@alpha").Value = alpha;
command.CommandText = sql;

Et votre requête devrait ressembler à:

string sql = "INSERT INTO dokimastikospinakas (pliroforia) VALUES (@alpha)";

InformationsquelleAutor Jon Martin

string insert = "INSERT INTO dokimastikospinakas (pliroforia) VALUES (@alpha)";

using (SqlConnection connection = new SqlConnection(...))
{
    connection.Open();
    using (SqlCommand command = new SqlCommand(insert, connection))
    {
        command.Parameters.Add("@alpha", alpha);
        command.ExecuteNonQuery();
    }
}

InformationsquelleAutor hunter

1

Êtes-vous à l'aide de ADO.NET? Alors les requêtes paramétrées sont ce que vous voulez:
```
IDbCommand command = new IDbCommand();
//Set up command connection
command.Text = "INSERT INTO dokimastikospinakas (pliroforia) VALUES (@alpha)";
command.Parameters.Add(new SqlParameter("@alpha", alpha));
```
L'extrait de code ci-dessus dépend bien sûr du type de base de données que vous utilisez (en particulier le type de SqlParameter vous ajoutez.

InformationsquelleAutor Ian Dallas

Exemple à l'aide d'un objet OracleCommand:
OraCon est le OracleConnection.

string sql = "INSERT INTO dokimastikospinakas (pliroforia) VALUES ( :Alpha )";
OracleCommand cmd = new OracleCommand(sql, OraCon);
cmd.CommandType = CommandType.Text;
cmd.Parameters.Add(":Alpha", alpha);
cmd.ExecuteNonQuery();

InformationsquelleAutor NetSquirrel

-1
```
string alpha;
string sql = "INSERT INTO dokimastikospinakas (pliroforia) VALUES ('" + alpha + "')";
```
c'est la meilleure façon de le faire, mais il n'est pas sûr d'attaques par injection SQL. Au lieu de cela, vous devriez d'abord vérifier la valeur de alpha pour s'assurer qu'il est sûr à utiliser dans une requête.

InformationsquelleAutor Gavin Coates

Vous devez vous connecter pour publier un commentaire.