Невозможно неявно преобразовать тип 'string' в 'System.Data.CommandType'

Question

Я смотрел веб-учебник, и преподаватель говорил на языке, который я не понимаю, и видео не показывало полную длину. Может ли кто-нибудь посоветовать мне, как должна выглядеть линия ...

private void Insertbtn_Click(object sender, EventArgs e) 
{ 
    OleDbCommand cmd = new OleDbCommand(); // this is good 
    cmd.CommandType = CommandType.Text; // this is good 
    cmd.CommandType = "INSERT INTO Students(StudentID, StudentName, StudentCNCI, 
    StudentDOB) Values('" + StudIDTxt.Text + "','" + StudNameTxt.Text + "','" + 
    StudCNCITxt.Text + "','" + StudDOBTxt.Text +")"; *// Need help here pls* 
    cmd.Connection=myCon; 
    myCon.Open(); 
    cmd.ExecuteNonQuery(); 
    myCon.Close(); 
} 

Я развиваюсь в VS 2010 C#. Использование доступа.

Answer 1

Вы должны всегда использовать parameterized queries. Ваш код открыт для SQL Injection attacs.

В запросе, вы должны использовать CommandText свойство, а не CommandType

cmd.CommandText = "INSERT INTO Students(StudentID, StudentName, StudentCNCI, 
    StudentDOB) Values(@StudIDTxt, @StudNameTxt, @StudCNCITxt, @StudDOBTxt)"; 

cmd.Parameters.AddWithValue("@StudIDTxt", StudIDTxt.Text); 
cmd.Parameters.AddWithValue("@StudNameTxt", StudNameTxt.Text); 
cmd.Parameters.AddWithValue("@StudCNCITxt", StudCNCITxt.Text); 
cmd.Parameters.AddWithValue("@StudDOBTxtl", StudDOBTxt.Text); 

Answer 2

Ваш

cmd.CommandType = "INSERT INTO Students(StudentID, StudentName, StudentCNCI, 
    StudentDOB) Values('" + StudIDTxt.Text + "','" + StudNameTxt.Text + "','" + 
    StudCNCITxt.Text + "','" + StudDOBTxt.Text +")"; 

должен быть

cmd.CommandText = "INSERT INTO Students(StudentID, StudentName, StudentCNCI, 
    StudentDOB) Values('" + StudIDTxt.Text + "','" + StudNameTxt.Text + "','" + 
    StudCNCITxt.Text + "','" + StudDOBTxt.Text +"')"; 

Вы сделали опечатку.

Также отсутствовала одинарная кавычка - (StudDOBTxt.Text +")") должно было быть StudDOBTxt.Text +"')" - это вызовет синтаксическую ошибку на стороне SQL-сервера.

Что касается параметризованной формы вашего запроса (форма, безопасная от SQL-инъекции), она должна будет использовать вопросительные знаки вместо именованных параметров (так оно работает в ODBC, когда тип команды - это текст), это было бы что-то вроде этого:

cmd.CommandText = @"INSERT INTO Students(StudentID, StudentName, StudentCNCI, StudentDOB) 
         Values(?,?,?,?)"; 
    cmd.Parameters.Add(new OleDbParameter("p1", StudIDTxt.Text)); 
    cmd.Parameters.Add(new OleDbParameter("p2", StudNameTxt.Text)); 
    cmd.Parameters.Add(new OleDbParameter("p3", StudCNCITxt.Text)); 
    cmd.Parameters.Add(new OleDbParameter("p4", StudDOBTxt.Text)); 

Answer 3

private void Insertbtn_Click(object sender, EventArgs e) 
{ 
    OleDbCommand cmd = new OleDbCommand(); // this is good 
    cmd.CommandType = CommandType.Text; // this is good 
    cmd.CommandText = "INSERT INTO Students(StudentID, StudentName, StudentCNCI, 
    StudentDOB) Values('" + StudIDTxt.Text + "','" + StudNameTxt.Text + "','" + 
    StudCNCITxt.Text + "','" + StudDOBTxt.Text +")"; *// Need help here pls* 
    cmd.Connection=myCon; 
    myCon.Open(); 
    cmd.ExecuteNonQuery(); 
    myCon.Close(); 
    } 

это должно быть Команда Текст не Тип команды