на главную - закладки

Чтение онлайн

КНИГИ

switch

АВТОРЫ

ЖАНРЫ

Деловая литература

Детективы

Детские

Документальная литература

Дом и Семья

Драматургия

Жанр не определен

Компьютеры и Интернет

Любовные романы

Научно-образовательная

Поэзия

Приключения

Проза

Прочее

Религия и эзотерика

Справочная литература

Старинная литература

Техника

Фантастика

Фольклор

Юмор

ЯЗЫК ПРОГРАММИРОВАНИЯ С# 2005 И ПЛАТФОРМА .NET 2.0. 3-е издание
на обложку

Троелсен Эндрю
Шрифт:

 SqlCommand myCommand = new SqlCommand(strSQL, cn);

 SqlDataReader myDataReader;

 myDataReader = myCommand.ExecuteReader;

 while (myDataReader.Read) {

for (int i = 0; i ‹ myDataReader.FieldCount; i++) {

Console.Write("{0} = {1}"; myDataReader.GetNаmе(i), myDataReader.GetValue(i).ToString.Trim);

}

Console.WriteLine;

 }

 myDataReader.Close;

}

Итак,

текстовый интерфейс пользователя готов, и мы можем теперь перейти к более интересным вещам.

Вставка новых записей

Для вставки новой записи в таблицу Inventory нужно (на основе пользовательского ввода) создать SQL-оператор вставки и вызвать ExecuteNonQuery. Чтобы не загромождать программный код, здесь из него удалена необходимая программная логика try/catch, которая присутствует в загружаемом варианте программного кода примеров для этой книги.

private static void InsertNewCar(SqlConnection cn) {

 // Сбор информации о новой машине.

 Console.Write("Введите номер машины: ");

 int newCarID = int.Parse(Console.ReadLine);

 Console.Write("Введите марку: ");

 string newCarMake = Console.ReadLine;

 Console.Write("Введите цвет: ");

 string newCarColor = Console.ReadLine;

 Console.Write("Введите название: ");

 string newCarPetName = Console.ReadLine;

 // Создание и выполнение оператора SQL.

 string sql = string.Format("Insert Into Inventory" +

"(CarID, Make, Color, PetName) Values" +

"({0}', '{1}', '{2}', '{3}')",

newCarID, newCarMake, newCarColor, newCarPetName);

 SqlCommand cmd = new SqlCommand(sql, cn);

 cmd.ExecuteNonQuery;

}

Замечание. Вы, возможно, знаете, что построение SQL-операторов с помощью конкатенации строк достаточно рискованно с точки зрения безопасности (вспомните о возможных атаках SQL-инъекции). Здесь этот подход используется только для простоты, поскольку, конечно же, предпочтительнее строить текст команд с помощью параметризованных запросов, обсуждение которых предполагается немного позже.

Удаление записей

Удалить существующую запись так же просто, как и вставить новую. Но, в отличие от программного кода для InsertNewCar, ниже демонстрируется важная возможность применения try/catch для обработки попытки удаления автомобиля, используемого в настоящий момент в процессе оформления заказа для покупателя из таблицы Customers (сама эта таблица будет рассмотрена в этой главе позже).

private static void DeleteCar(SqlConnection cn) {

 // Получение номера машины для удаления и само удаление.

 Console.Write("Введите номер машины для удаления: ");

 int carToDelete = int.Parse(Console.ReadLine);

 string sql = string.Format("Delete from Inventory where CarID = '{0}'", carToDelete);

 SqlCommand cmd = new SqlCommand(sql, cn);

 try { cmd.ExecuteNonQuery; } catch {

Console.WriteLine("Извините,
на эту машину оформляется заказ!");

 }

}

Обновление записей

Если вы разобрались с программным кодом для DeleteCar и InsertNewCar, то и программный код для UpdateCarPetName не будет для вас сложным (здесь для простоты логика try/catch тоже исключена).

private static void UpdateCarPetName(SqlConnection cn) {

 // Получение номера машины для модификации и ввод нового названия.

 Console.Write("Введите номер машины для модификации: ");

 string newPetName = "";

 int carToUpdate = carToUpdate = int.Parse(Console.ReadLine);

 Console.Write("Введите новое название: ");

 newPetName = Console.ReadLine;

 // Обновление записи.

 string sql = string.Format("Update Inventory Set PetName='{0}' Where CarID='{1}'", newPetName, carToUpdate);

 SqlCommand cmd = new SqlCommand(sql, cn);

 cmd.ExecuteNonQuery;

}

На этом создание приложения завершается. На рис. 22.8 показан результат тестового запуска этого приложения.

Рис. 22.8. Вставка, обновление и удаление записей c помощью объектов команд

Работа с объектами параметризованных команд

Показанная выше программная логика вставки, обновления и удаления работает так, как и ожидается, однако обратите внимание на то, что каждый из SQL-запросов здесь представлен "жестко" закодированными строковыми литералами. Вы, возможно, знаете, что с SQL-параметрами можно обращаться, как с объектами, а не с простыми строками текста, если использовать параметризованные запросы Обычно параметризованные запросы выполняются намного быстрее буквальных SQL-строк, поскольку они анализируются только один раз (а не каждый раз, когда SQL-строка присваивается свойству CommandText). Параметризованные запросы также обеспечивают защиту от атак SQL-инъекции (это известная проблема безопасности доступа к данным).

Объекты команд ADO.NET поддерживают коллекцию дискретных типов параметра. По умолчанию эта коллекция пуста, но вы можете добавить в нее любое число объектов параметра, которые должны будут отображаться в "заместитель" параметра в SQL-запросе. Чтобы ассоциировать параметр в SQL-запросе с членом коллекции параметров данного объекта команды, добавьте к текстовому SQL-параметру префикс @ (это работает, как минимум, при использовании Microsoft SQL Server, но такое обозначение поддерживают не все СУБД).

1-279280281282283284285286287288289290291292293-346
Поделиться с друзьями:
© 2024 xBook

Почта для связи: ivanpetrovpochta123@gmail.com