ADO.NET 数据命令使您能够直接对数据库或其他数据源执行命令,而不需要数据集或数据适配器。有关更多信息,请参见 Visual Studio 中的 向窗体或组件添加数据命令。
对象介绍
在执行数据命令之前,向窗体或组件添加命令对象的实例并配置它。Visual Studio 包含一些工具来帮助您在设计时进行该操作。
安全说明 当使用 CommandType 属性设置为 Text 的数据命令时,请对从客户端发送过来的信息进行仔细检查,然后再将它传递给数据库。恶意用户可能会试图发送(插入)修改过的或其他 SQL 语句,以获得未经授权的访问或破坏数据库。在将用户输入内容传输到数据库之前,应始终确认这些信息是有效的;如果可能的话,请始终使用参数化查询或存储过程,这是最佳措施。有关更多信息,请参见“有关 SQL 语句的安全考虑事项”。
向窗体或组件添加数据命令
- 如果窗体或组件上尚没有可用的连接对象,请进行添加。有关更多信息,请参见创建 ADO.NET 连接对象。
- 从工具箱的“数据”选项卡,将 OleDbCommand、SqlCommand、OdbcCommand 或 OracleCommand 对象拖到窗体或组件上。
注意 数据适配器、数据连接、数据命令和数据读取器是组成 .NET Framework 数据提供程序的组件。Microsoft 和第三方供应商可能会提供其它提供程序,这些提供程序也可集成到 Visual Studio 中。有关更多信息,请参见 .NET Framework 数据提供程序。
- 为数据命令设置下列属性。
属性 说明 (Name) 在代码中要引用命令的名称。 Connection 对一个连接对象的引用,命令将使用该对象与数据库通信。可以从下拉列表中选择一个现有连接。 CommandType 由 CommandType 枚举指定的一个值,该值指示要执行的命令的类型: - Text 一个 SQL 语句。
- StoredProcedure 一个存储过程。
- TableDirect 获取表的整个内容的一种方式。(只有 OLE DB .NET Framework 数据提供程序支持 TableDirect。)
CommandText 要执行的命令。所指定的确切文本取决于 CommandType 属性的值: - Text 输入要执行的实际 SQL 语句。
- StoredProcedure 输入存储过程的名称。
- TableDirect 输入要获取的表的名称。(只有 OLE DB .NET Framework 数据提供程序支持 TableDirect。)
Parameters 类型为 OleDbParameter、SqlParameter、OdbcParameter 或 OracleParameter 的参数对象的一个集合。可以通过设置各个参数的属性向命令传递数据。 有关配置参数的更多信息,请参见为数据适配器配置参数。有关传递和接收参数值的更多信息,请参见设置和获取数据命令参数。