C#数据库操作：增删改查与高级实践

如水蜜

于 2025-06-05 13:47:43 发布

阅读量1.1k

点赞数 22

CC 4.0 BY-SA版权

本文链接：https://blog.csdn.net/weixin_31569663/article/details/148461960

本文还有配套的精品资源，点击获取

简介：C#是.NET框架下的主要编程语言，它提供了强大的API和工具，特别是ADO.NET组件模型，使得与多种数据库如SQL Server、Oracle和MySQL的交互变得高效。本篇文章将详细讲解如何使用C#进行数据库的基本操作，并涵盖高级功能如事务处理和错误处理。适合初学者以及希望提升数据库操作技能的开发人员。

1. C#数据库操作基础

数据库是现代软件应用不可或缺的一部分，为存储、检索和管理数据提供了结构化的方法。在.NET平台上，C#语言通过ADO.NET提供了一组丰富的类库来执行数据库操作。本章将带你走进C#中数据库操作的基础，包括了解数据库连接的建立、SQL命令的执行、查询数据以及错误处理等关键概念。

在深入技术细节前，我们需要认识到，无论是访问本地数据库还是远程数据库，C#数据库操作的基本原理是类似的，但实践中的配置和优化可能会有所不同。我们将从创建数据库连接开始，了解如何在C#应用程序中安全且有效地执行数据库操作。

1.1 数据库与C#的交互基础

数据库操作通常涉及以下步骤：

连接到数据库。
发送SQL命令执行数据操作。
处理返回的数据结果。
关闭连接。

每一步都必须仔细处理以确保数据的安全性和应用的稳定性。C#数据库操作的基础之一是理解如何使用 SqlConnection 和 SqlCommand 对象来实现这些步骤。例如，在C#中，我们可以通过如下代码创建一个简单的数据库连接：

using System.Data.SqlClient;

// 创建连接字符串
string connectionString = "Data Source=your_server_name;Initial Catalog=your_database_name;Integrated Security=True";
// 创建SqlConnection对象
SqlConnection connection = new SqlConnection(connectionString);

try
{
    // 打开连接
    connection.Open();
    // 在此处可以执行SQL命令
}
catch (Exception ex)
{
    // 错误处理逻辑
}
finally
{
    // 关闭连接
    connection.Close();
}

以上代码展示了如何通过一个try-catch-finally结构来处理数据库操作中可能出现的异常，确保无论如何都能正确关闭数据库连接，避免资源泄露和潜在的性能问题。这仅仅是C#数据库操作旅程的起点，接下来章节中将详细介绍每一个操作步骤的详细技术和最佳实践。

2. ADO.NET组件模型介绍

2.1 ADO.NET的概念与架构

2.1.1 ADO.NET核心组件解析

ADO.NET是一套用于Microsoft.NET环境的编程接口，它提供了对数据访问的抽象层，使得开发者能够通过统一的方式操作关系数据库、XML数据以及其他数据源。核心组件主要包括以下几个部分：

Connection对象 ：提供了与数据源的连接功能，是执行数据库操作的起点。
Command对象 ：用于发送SQL命令到数据源，并可能获取结果。
DataReader对象 ：提供了一个快速只读的从数据源检索数据的方法。
DataAdapter对象 ：作为桥梁，用于填充DataSet对象，同步数据源和DataSet。
DataSet对象 ：在内存中提供了一种数据关系图的概念，可以存储来自数据源的数据，并在本地进行数据操作。

通过这些组件的组合使用，开发者可以灵活地创建各种数据访问功能，如数据查询、编辑、更新和删除操作。

2.1.2 数据提供者和数据适配器

在ADO.NET中，数据提供者（Data Provider）是为特定的数据源（如SQL Server、Oracle等）提供访问接口的组件集合，它们通常包含以下几个对象：

Connection ：用于建立与数据源的连接。
Command ：用于执行SQL语句或存储过程。
DataReader ：用于读取数据源返回的数据流。
DataAdapter ：用于协调DataSet对象和数据源之间的数据交换。

数据适配器（DataAdapter）是数据提供者的一部分，它作为桥梁在DataSet和数据源之间传输数据。DataAdapter使用Command对象来执行SQL命令，并填充DataSet，或者更新数据源。使用DataAdapter可以减少数据库连接的次数，提高应用程序的性能。

2.2 连接管理与数据集操作

2.2.1 Connection对象的作用与使用

Connection对象负责建立应用程序与数据源之间的实际连接。在ADO.NET中，它主要有以下几个作用：

建立连接 ：根据提供的连接字符串建立连接。
执行SQL命令 ：通过Connection对象可以执行SQL命令，直接从数据源获取数据。
管理事务 ：Connection对象可以开启事务，保证操作的一致性和完整性。

在使用Connection对象时，开发者需要遵循以下步骤：

创建一个Connection对象实例。
设置Connection的ConnectionString属性。
调用Open方法打开连接，或调用Close/Dispose方法关闭连接。

下面是一个使用SqlConnection打开与关闭连接的示例代码：

using System.Data.SqlClient;

// 创建SqlConnection实例
SqlConnection connection = new SqlConnection("Data Source=服务器地址;Initial Catalog=数据库名;User ID=用户名;Password=密码;");

try
{
    // 打开连接
    connection.Open();
    // 在此处执行SQL命令或其他数据库操作
}
catch (Exception ex)
{
    // 处理异常
    Console.WriteLine("连接打开失败：" + ex.Message);
}
finally
{
    // 关闭连接
    if (connection.State == ConnectionState.Open)
    {
        connection.Close();
    }
}

通过以上代码，我们首先创建了一个SqlConnection实例，并设置了连接字符串。在try块中尝试打开连接，并执行相关的数据库操作。一旦操作完成或发生异常，都会在finally块中确保关闭连接，保证数据库资源被正确释放。

2.2.2 DataSet和DataTable的对比与应用

DataSet和DataTable是ADO.NET中用于表示和操作数据的主要类。它们都代表了内存中的数据集合，但使用场景和用途有所不同。

DataTable ：代表数据源中表的一个副本，可以包含行、列和约束，是一种轻量级的数据集合。DataTable适用于简单的数据操作场景，如在一个表中筛选、排序和更新数据。
DataSet ：更加强大和灵活，它包含了一个或多个DataTable，以及它们之间的关系（DataRelation），可以看作一个轻量级的数据库。DataSet适合于需要维护多个表之间的关系，或者需要进行复杂查询和操作的场景。

在实际应用中，选择DataTable还是DataSet取决于具体的应用场景和数据操作需求。例如，如果需要处理来自不同数据源的多表数据并保持它们之间的关系，那么DataSet会是一个更好的选择。相反，如果只是需要对单个表的数据进行操作，且关系较为简单，使用DataTable会更加高效。

下面是一个简单的示例，展示了如何使用DataTable进行数据操作：

// 创建DataTable实例
DataTable table = new DataTable("示例表");

// 添加列
table.Columns.Add("ID", typeof(int));
table.Columns.Add("Name", typeof(string));

// 添加行
table.Rows.Add(1, "张三");
table.Rows.Add(2, "李四");

// 遍历DataTable中的所有行
foreach (DataRow row in table.Rows)
{
    int id = (int)row["ID"];
    string name = (string)row["Name"];
    Console.WriteLine($"ID: {id}, Name: {name}");
}

在此代码中，我们首先创建了一个名为“示例表”的DataTable，并添加了两列，分别是ID和Name。然后向DataTable中添加了两行数据，并遍历显示每行的内容。通过这个简单的操作，我们可以看到DataTable在操作单个数据表时的便利性。

3. 使用SqlConnection连接数据库

数据库连接是任何数据库操作的起点。C# 中， SqlConnection 对象是用于建立与 SQL Server 数据库连接的关键。本章将详细介绍如何使用 SqlConnection 连接数据库，包括连接对象的创建与配置、连接池的管理、数据库连接的打开与关闭，以及如何处理异常和超时问题。

3.1 SqlConnection对象的创建与配置

3.1.1 连接字符串的构造

连接字符串是 SqlConnection 的核心，它包含了连接到数据库所需的所有信息。一个典型的连接字符串格式如下：

string connectionString = "Server=服务器地址;Database=数据库名;User Id=用户名;Password=密码;Trusted_Connection=是/否;";

其中每一部分的含义如下：

Server : 指定数据库服务器的地址或实例名称。
Database : 指定要连接的数据库名称。
User Id : 指定登录数据库的用户名。
Password : 指定登录数据库的密码。
Trusted_Connection : 表示是否使用 Windows 身份验证（在 SQL Server 中为 yes ，而在其他数据库中可能有所不同）。

创建连接字符串时，务必保证各项信息的准确性，错误的连接字符串会导致无法建立数据库连接或安全风险。

3.1.2 连接池的工作机制

连接池是ADO.NET为了提升数据库连接效率而引入的一项技术。它能够缓存一定数量的数据库连接，并在应用程序需要时快速提供这些连接，从而减少连接数据库的时间和资源消耗。

连接池的工作流程如下：

应用程序尝试连接到数据库。
如果连接池中已经存在可用的连接，就直接返回一个连接给应用程序。
如果连接池中没有可用的连接，就会创建一个新的连接，并将其加入连接池。
当应用程序关闭连接时，并不是真正关闭，而是将其返回到连接池中，供下次使用。
如果连接在指定的时间内未被使用，连接池会自动关闭这个连接，以避免资源浪费。

注意：为了保持连接的有效性，连接池中的连接会定期进行健康检查，但这会消耗额外的资源。因此，合理配置连接池的参数，如最大连接数、最小连接数、连接超时时间等，对于性能优化至关重要。

3.2 数据库连接的打开与关闭

3.2.1 正确关闭连接的方法

在使用 SqlConnection 时，正确管理数据库连接是至关重要的。不当的关闭方式会导致资源未释放或其他应用程序错误。推荐使用 using 语句块来管理数据库连接，如下所示：

using (SqlConnection connection = new SqlConnection(connectionString))
{
    connection.Open();
    // 执行数据库操作...
}
// 使用using语句后，连接会在离开代码块时自动关闭和释放。

使用 using 语句可以确保即使发生异常， Dispose 方法也会被调用，从而正确关闭数据库连接。

3.2.2 异常处理与连接的超时问题

连接数据库时可能会遇到多种异常情况，如网络故障、服务器故障、身份验证失败等。应对这些异常进行捕获和处理，以确保程序的健壮性。例如：

try
{
    using (SqlConnection connection = new SqlConnection(connectionString))
    {
        connection.Open();
        // 执行数据库操作...
    }
}
catch (SqlException sqlEx)
{
    // 处理SQL异常，例如记录日志等
    Console.WriteLine(sqlEx.Message);
}
catch (Exception ex)
{
    // 处理其他类型的异常
    Console.WriteLine(ex.Message);
}

此外，数据库连接可能会因为网络延迟或其他原因导致超时。为了应对这种情况，可以在连接字符串中设置 Connect Timeout 参数，指定最大等待时间。例如：

string connectionString = "Server=服务器地址;Database=数据库名;User Id=用户名;Password=密码;Connect Timeout=30";

设置为30秒意味着如果在30秒内无法建立连接，则会抛出超时异常。

3.3 小结

本章深入探讨了使用 SqlConnection 进行数据库连接的细节，涵盖了连接对象的创建与配置、连接池的管理机制以及连接的打开、关闭和异常处理。掌握这些知识对于确保应用程序的稳定运行和性能优化至关重要。在下一章节中，我们将继续深入探讨如何执行SQL命令，包括增删改等操作，并介绍参数化查询以防止SQL注入攻击。

4. 执行SQL命令（INSERT, UPDATE, DELETE）

4.1 SQL命令的基本执行流程

4.1.1 使用SqlCommand对象执行命令

在ADO.NET框架中， SqlCommand 对象是执行SQL命令的核心，它负责与数据库进行交互，发送SQL命令，并接收执行结果。创建一个 SqlCommand 对象时，需要传递SQL命令文本以及一个 SqlConnection 对象作为参数。下面是一个简单的例子：

using (SqlConnection connection = new SqlConnection(connectionString))
{
    SqlCommand command = new SqlCommand("INSERT INTO Users (Name, Email) VALUES (@Name, @Email)", connection);
    // ...后续操作
}

在这里， connectionString 是连接到数据库的字符串， "INSERT INTO Users (Name, Email) VALUES (@Name, @Email)" 是将要执行的SQL插入命令，其中 @Name 和 @Email 是参数化查询的占位符。

创建了 SqlCommand 对象后，通常会用 SqlConnection 对象的 Open 方法打开数据库连接，然后调用 SqlCommand 的 ExecuteNonQuery 方法来执行插入、更新或删除操作（即所谓的DDL语句），该方法会返回一个整数值，表示受影响的行数。

4.1.2 SQL命令参数化的方法

参数化查询是防止SQL注入的重要手段之一。在前面的代码示例中， @Name 和 @Email 就是参数化查询的占位符。将参数添加到 SqlCommand 对象的 Parameters 集合中，可以避免SQL注入风险，并提高查询效率。

command.Parameters.AddWithValue("@Name", userName);
command.Parameters.AddWithValue("@Email", userEmail);

在这里， AddWithValue 方法是一个便捷的方法来添加参数，其中 "@Name" 是参数名称， userName 是实际值。需要注意的是，参数化查询还可以避免因为拼接SQL语句导致的语法错误。

4.2 增删改操作的实践技巧

4.2.1 插入数据的最佳实践

在插入数据时，一个重要的最佳实践是使用事务来保证数据的一致性和完整性。如果插入过程中发生错误，事务可以确保不留下任何不完整的数据记录。

using (SqlConnection connection = new SqlConnection(connectionString))
{
    SqlCommand command = new SqlCommand("INSERT INTO Users (Name, Email) VALUES (@Name, @Email)", connection);
    command.Parameters.AddWithValue("@Name", userName);
    command.Parameters.AddWithValue("@Email", userEmail);
    try
    {
        connection.Open();
        // 开始事务
        SqlTransaction transaction = connection.BeginTransaction();
        command.Transaction = transaction;

        // 执行命令
        int result = command.ExecuteNonQuery();
        // 提交事务
        transaction.Commit();
    }
    catch (Exception ex)
    {
        // 回滚事务
        transaction.Rollback();
        Console.WriteLine("Error: " + ex.Message);
    }
}

在上面的代码中，我们创建了一个事务，并将其赋给 SqlCommand 对象。如果操作成功，事务会被提交；如果发生异常，事务会被回滚。

4.2.2 更新与删除数据的注意事项

在进行数据的更新（UPDATE）和删除（DELETE）操作时，同样需要考虑到数据的一致性和完整性。使用参数化查询和事务是关键的实践技巧。

using (SqlConnection connection = new SqlConnection(connectionString))
{
    string updateQuery = "UPDATE Users SET Email = @Email WHERE Name = @Name";
    SqlCommand command = new SqlCommand(updateQuery, connection);

    command.Parameters.AddWithValue("@Email", newUserEmail);
    command.Parameters.AddWithValue("@Name", userName);

    try
    {
        connection.Open();
        command.ExecuteNonQuery();
    }
    catch (Exception ex)
    {
        Console.WriteLine("Error: " + ex.Message);
    }
}

在更新和删除操作时，我们一般会对特定记录进行操作，例如，根据用户名称来定位记录。在上述例子中，我们通过 Name 字段来确定需要更新的记录，并使用 Email 字段的更新值来更新数据库中的数据。同样地，异常处理在这里是为了捕获并报告可能发生的错误，保证操作不会对数据造成未预期的影响。

5. 查询数据使用SqlCommand和SqlDataReader

5.1 查询数据的基本方法

5.1.1 使用SqlCommand执行查询

在C#中， SqlCommand 对象用于执行存储过程和SQL语句。当我们需要从数据库中检索数据时，通常使用 SqlCommand 对象来执行SQL查询。这种方式能够从数据库中提取出数据集供后续操作使用。

以下是使用 SqlCommand 执行查询的基本步骤：

创建一个 SqlConnection 对象，并建立与数据库的连接。
创建一个 SqlCommand 对象，指定要执行的SQL查询字符串。
如果查询需要参数，可以使用 SqlCommand 对象的 Parameters 集合添加参数。
调用 SqlCommand 对象的 ExecuteReader() 方法执行查询并返回一个 SqlDataReader 对象。
使用 SqlDataReader 对象读取查询结果。
完成数据读取后，调用 SqlDataReader 的 Close() 方法关闭数据读取器。
最后，关闭 SqlConnection 对象释放资源。

下面是一个示例代码，演示如何使用 SqlCommand 执行一个简单的SELECT查询：

using System;
using System.Data;
using System.Data.SqlClient;

class Program
{
    static void Main()
    {
        string connectionString = "Data Source=服务器地址;Initial Catalog=数据库名;Integrated Security=True";
        string queryString = "SELECT * FROM 表名 WHERE 列名='条件'";

        using (SqlConnection connection = new SqlConnection(connectionString))
        {
            SqlCommand command = new SqlCommand(queryString, connection);
            connection.Open();
            SqlDataReader reader = command.ExecuteReader();

            try
            {
                while (reader.Read())
                {
                    // 读取当前行的数据
                    // 例如: Console.WriteLine(reader["ColumnName"].ToString());
                }
            }
            finally
            {
                // 关闭SqlDataReader对象
                reader.Close();
                // 关闭SqlConnection对象
                connection.Close();
            }
        }
    }
}

在此代码中，首先创建了一个 SqlConnection 实例并配置了连接字符串。然后，构建了 SqlCommand 对象，并调用 ExecuteReader() 方法来执行SQL查询并返回 SqlDataReader 。通过 SqlDataReader 对象，可以逐行读取数据直到完成。最后，不要忘记关闭 SqlDataReader 和 SqlConnection 对象，以释放相关资源。

5.1.2 使用SqlDataReader读取数据

SqlDataReader 提供了一个只读的、向前的流式数据读取器，用于从数据库中检索数据。当你使用 SqlCommand 的 ExecuteReader() 方法时，就会得到一个 SqlDataReader 实例，然后可以逐行读取返回的数据集合。

以下是使用 SqlDataReader 读取数据时需要注意的几个要点：

只有当连接处于打开状态时， SqlDataReader 才能被创建。
在调用 ExecuteReader() 方法后，数据立即从数据库中读取。
使用 SqlDataReader 时，必须以循环方式逐行读取数据，直到数据流结束。
在读取数据时，可以使用 GetBoolean() , GetInt32() , GetString() 等方法根据列的数据类型获取数据。
在数据读取完成后，必须调用 Close() 方法来关闭 SqlDataReader ，之后 SqlDataReader 就不能再使用了。
在关闭 SqlDataReader 之后，应该关闭与它关联的 SqlConnection 来释放数据库资源。

使用 SqlDataReader 读取数据的示例代码如下：

while (reader.Read())
{
    int id = reader.GetInt32(0); // 获取第一列的值，并转换为整型
    string name = reader.GetString(1); // 获取第二列的值，并转换为字符串
    // 这里可以继续处理其他列的数据
}

在这个例子中， reader.Read() 方法用于移动到下一条记录，当数据读取结束时返回false。 GetInt32(0) 和 GetString(1) 用于获取指定列的数据，索引从0开始。

使用 SqlDataReader 来查询数据是一种高效的方式，尤其适用于需要处理大量数据且不需要在内存中存储整个数据集的场景。

5.2 高级查询技巧与性能优化

5.2.1 大数据量查询处理

在处理大数据量的查询时，我们需要注意如何有效地从数据库检索数据，而不影响系统性能。以下是一些高级查询技巧和性能优化方法：

索引的使用 : 确保你的查询能够利用索引来加快数据检索速度。合理创建索引可以显著提升查询性能。
分页查询 : 如果需要显示大量数据，可以采用分页查询。仅检索当前页需要的数据，可以减少对内存和网络带宽的需求。
异步处理 : 使用异步方法来执行查询可以避免在数据库访问期间应用程序停止响应。
存储过程 : 优化数据库逻辑，并利用存储过程来减少网络往返次数和执行更复杂的查询操作。

5.2.2 查询优化的策略与技巧

查询优化通常包含以下几个方面：

查询语句优化 : 仔细构造SQL查询语句，避免使用全表扫描，减少不必要的数据加载和计算。
查询缓存 : 利用数据库查询缓存可以减少数据库负载。SQL Server提供了查询缓存功能，可提高重复查询的性能。
减少网络传输 : 使用参数化查询，避免将复杂的查询逻辑转移到客户端处理，减少网络传输的数据量。
使用事务日志 : 对于需要事务支持的查询操作，合理配置事务日志可以加快事务处理速度。
并行查询 : 在多核处理器上，数据库可以并行处理查询，从而提高查询速度。

在C#中，通过合理配置 SqlCommand 对象的执行策略，可以有效提升查询性能。例如，使用 CommandTimeout 属性来设置命令执行的超时时间，避免因网络问题或数据库负载高导致的长时间等待。

SqlCommand command = new SqlCommand(queryString, connection);
command.CommandTimeout = 30; // 设置命令执行的超时时间为30秒

通过以上这些策略和技巧的合理应用，可以实现对大数据量查询的有效处理和性能优化。在实际操作中，还需要根据具体情况和测试结果来调整和优化查询策略。

在下一节中，我们将探讨如何使用参数化查询来防止SQL注入，这是保障数据库安全的重要措施。

6. 参数化查询防止SQL注入

在这一章节中，我们将深入探讨如何利用参数化查询来防止SQL注入攻击，确保我们的应用程序安全运行。首先，我们需要了解SQL注入的原理和它带来的危害。然后，我们将深入讨论参数化查询的具体实施细节，并通过案例分析展示如何在实际应用中使用参数化查询。

6.1 SQL注入的原理与危害

6.1.1 SQL注入的常见攻击方式

SQL注入是一种代码注入技术，攻击者通过在应用程序的输入字段中输入恶意SQL代码片段来破坏或操纵后端数据库。这种攻击方式能够绕过身份验证，获取、修改或删除数据库中的数据，甚至对数据库服务器进行其他恶意操作。

攻击者通常会寻找应用程序中的输入点，如表单输入、URL参数或Cookie值，并尝试插入特定的SQL片段。例如，一个简单的登录验证查询：

SELECT * FROM Users WHERE Username = 'input_username' AND Password = 'input_password';

如果应用程序对输入不做处理，攻击者可能尝试输入如下的用户名：

admin' --

这将导致SQL查询变为：

SELECT * FROM Users WHERE Username = 'admin' --' AND Password = 'input_password';

在SQL中， -- 是注释符号，所以该查询实际上忽略了密码验证。

6.1.2 防护SQL注入的重要性

由于SQL注入攻击可能导致严重的数据泄露和系统损害，因此在开发阶段采取措施预防这种攻击是至关重要的。防止SQL注入的最好方法之一就是使用参数化查询。参数化查询通过使用参数占位符来分离SQL逻辑与数据，确保恶意输入无法改变查询的结构，从而避免SQL注入的风险。

6.2 参数化查询的实现与应用

6.2.1 参数化查询的技术细节

参数化查询与传统的拼接SQL字符串的方式不同，它通过使用参数来传递数据给SQL命令。在.NET中，当使用SqlCommand对象执行命令时，可以利用参数化的技术：

using (SqlConnection conn = new SqlConnection(connectionString))
{
    SqlCommand command = new SqlCommand("SELECT * FROM Users WHERE Username = @username AND Password = @password", conn);
    command.Parameters.AddWithValue("@username", "userinput");
    command.Parameters.AddWithValue("@password", "userinput");
    // ...
}

在上面的代码中， @username 和 @password 是参数占位符，它们被添加到SQL命令字符串中，然后通过Parameters集合为每个参数赋予实际的值。

6.2.2 使用参数化查询的案例分析

考虑一个具体的案例，假设我们有一个在线商店的订单系统，需要查询特定订单的详细信息。如果我们将订单ID直接拼接到SQL查询字符串中，那么系统就有遭受SQL注入的风险。相反，我们可以使用参数化查询来安全地实现相同的功能：

string orderId = "123";
using (SqlConnection conn = new SqlConnection(connectionString))
{
    SqlCommand command = new SqlCommand("SELECT * FROM Orders WHERE OrderID = @OrderID", conn);
    command.Parameters.AddWithValue("@OrderID", orderId);
    // ...
}

在这个例子中，即使 orderId 变量的内容被攻击者修改为包含恶意SQL代码的字符串，参数化查询的机制也会确保这段代码被当作字符串数据处理，而不是SQL命令的一部分。

通过这种方式，参数化查询有效地隔离了代码逻辑与数据，避免了由于恶意输入而导致的数据泄露或系统破坏的风险。

本文还有配套的精品资源，点击获取