SqlDataSource.InsertCommand Propriedade

Definição

Obtém ou define a cadeia de caracteres SQL que o controle SqlDataSource usa para inserir dados do banco de dados subjacente.

public string InsertCommand { get; set; }

Valor da propriedade

Uma cadeia de caracteres SQL usada pelo SqlDataSource para inserir dados.

Exemplos

Esta seção contém dois exemplos de código. O primeiro exemplo de código demonstra como inserir dados em um banco de dados usando o SqlDataSource controle e uma página simples do Web Forms. O segundo exemplo de código demonstra como recuperar dados do Microsoft SQL Server e exibi-los em um GridView controle e como usar um DetailsView controle para ver detalhes de uma linha selecionada no GridView controle e como um formulário para inserir novos registros.

Observação

Esses exemplos mostram como usar a sintaxe declarativa para acesso a dados. Para obter informações sobre como acessar dados usando código em vez de marcação, consulte Acessando dados no Visual Studio.

O exemplo de código a seguir demonstra como inserir dados em um banco de dados usando o SqlDataSource controle e uma página simples do Web Forms. Os dados atuais na tabela Dados são exibidos no DropDownList controle . Você pode adicionar novos registros inserindo valores nos TextBox controles e clicando no botão Inserir . Quando o botão Inserir é clicado, os valores especificados são inseridos no banco de dados e o DropDownList controle é atualizado.

Importante

Este exemplo inclui uma caixa de texto que aceita a entrada do usuário, que é uma possível ameaça à segurança, e os valores são inseridos em parâmetros sem validação, o que também é uma possível ameaça à segurança. Use o Inserting evento para validar valores de parâmetro antes de executar a consulta. Para obter mais informações, consulte Visão geral de explorações de script.

<%@Page  Language="C#" %>
<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">

<script runat="server">
private void InsertShipper (object source, EventArgs e) {
  SqlDataSource1.Insert();
}
</script>
<html xmlns="http://www.w3.org/1999/xhtml" >
  <head runat="server">
    <title>ASP.NET Example</title>
</head>
<body>
    <form id="form1" runat="server">

      <asp:dropdownlist
        id="DropDownList1"
        runat="server"
        datasourceid="SqlDataSource1"
        datatextfield="CompanyName"
        datavaluefield="ShipperID" />

<!-- Security Note: The SqlDataSource uses a FormParameter,
     Security Note: which does not perform validation of input from the client.
     Security Note: To validate the value of the FormParameter, handle the Inserting event. -->

      <asp:sqldatasource
        id="SqlDataSource1"
        runat="server"
        connectionstring="<%$ ConnectionStrings:MyNorthwind %>"
        selectcommand="SELECT CompanyName,ShipperID FROM Shippers"
        insertcommand="INSERT INTO Shippers (CompanyName,Phone) VALUES (@CoName,@Phone)">
          <insertparameters>
            <asp:formparameter name="CoName" formfield="CompanyNameBox" />
            <asp:formparameter name="Phone"  formfield="PhoneBox" />
          </insertparameters>
      </asp:sqldatasource>

      <br /><asp:textbox
           id="CompanyNameBox"
           runat="server" />

      <asp:RequiredFieldValidator
        id="RequiredFieldValidator1"
        runat="server"
        ControlToValidate="CompanyNameBox"
        Display="Static"
        ErrorMessage="Please enter a company name." />

      <br /><asp:textbox
           id="PhoneBox"
           runat="server" />

      <asp:RequiredFieldValidator
        id="RequiredFieldValidator2"
        runat="server"
        ControlToValidate="PhoneBox"
        Display="Static"
        ErrorMessage="Please enter a phone number." />

      <br /><asp:button
           id="Button1"
           runat="server"
           text="Insert New Shipper"
           onclick="InsertShipper" />

    </form>
  </body>
</html>

O exemplo de código a seguir demonstra como recuperar dados do SQL Server e exibi-los em um GridView controle e como usar um DetailsView controle para ver detalhes de uma linha selecionada no GridView controle e como um formulário para inserir novos registros.

Inicialmente, os dados são exibidos no GridView controle e a linha selecionada do GridView também é exibida no DetailsView controle . Os GridView controles e DetailsView usam diferentes controles de fonte de dados; aquele associado DetailsView ao tem as FilterExpression propriedades e FilterParameters , o que garante que a linha selecionada do GridView seja exibida.

Se você clicar no botão Inserir gerado automaticamente do DetailsView controle, o DetailsView mostrará uma interface do usuário diferente, que é usada para inserir um novo registro. O exemplo usa um procedimento armazenado para inserir registros e retorna a chave primária da linha inserida. Se você inserir um registro, o DetailsView preencherá automaticamente a InsertParameters coleção com valores das colunas associadas e chamará o Insert método . O DetailsView pode inferir os parâmetros corretos de qualquer BoundField objeto e um parâmetro para o TemplateField objeto quando a sintaxe de associação de dados bidirecional ASP.NET é usada. Neste exemplo, um parâmetro adicional é adicionado no OnInserting manipulador de eventos para manipular a chave primária retornada pelo procedimento armazenado.

Por fim, depois que os dados são inseridos no banco de dados pelo DetailsView controle, o OnInserted manipulador de eventos é chamado para manipular o Inserted evento, o valor da chave primária da linha inserida é exibido e o DataBind método do GridView controle é chamado explicitamente para atualizar os dados.

<%@Page  Language="C#" %>
<%@Import Namespace="System.Data" %>
<%@Import Namespace="System.Data.Common" %>
<%@Import Namespace="System.Data.SqlClient" %>
<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">

<script runat="server">
 private void On_Inserting(Object sender, SqlDataSourceCommandEventArgs e) {

    SqlParameter insertedKey = new SqlParameter("@PK_New", SqlDbType.Int);
    insertedKey.Direction    = ParameterDirection.Output;        
    e.Command.Parameters.Add(insertedKey);
 }

 private void On_Inserted(Object sender, SqlDataSourceStatusEventArgs e) {
    DbCommand command = e.Command;    
    
    // The label displays the primary key of the recently inserted row.
    Label1.Text = command.Parameters["@PK_New"].Value.ToString();
    
    // Force a refresh after the data is inserted.
    GridView1.DataBind();
 }
</script>

<html xmlns="http://www.w3.org/1999/xhtml" >
  <head runat="server">
    <title>ASP.NET Example</title>
</head>
<body>
    <form id="form1" runat="server">

      <asp:GridView
        id="GridView1"
        runat="server"
        AutoGenerateColumns="False"
        DataKeyNames="EmployeeID"        
        DataSourceID="SqlDataSource1">
        <columns>          
          <asp:BoundField HeaderText="First Name" DataField="FirstName" />
          <asp:BoundField HeaderText="Last Name" DataField="LastName" />
          <asp:BoundField HeaderText="Title" DataField="Title" />
          <asp:ButtonField ButtonType="Link" CommandName="Select" Text="Details..." />
        </columns>
      </asp:GridView>

      <asp:SqlDataSource
        id="SqlDataSource1"
        runat="server"
        ConnectionString="<%$ ConnectionStrings:MyNorthwind %>"
        SelectCommand="SELECT EmployeeID,FirstName,LastName,Title FROM Employees">
      </asp:SqlDataSource>

      <hr />

      <asp:DetailsView
        id="DetailsView1"
        runat="server"
        DataSourceID="SqlDataSource2"
        AutoGenerateRows="False"
        AutoGenerateInsertButton="True">
        <fields>
          <asp:BoundField HeaderText="First Name" DataField="FirstName" ReadOnly="False"/>
          <asp:BoundField HeaderText="Last Name" DataField="LastName" ReadOnly="False"/>
          <asp:TemplateField HeaderText="Title">
            <ItemTemplate>
              <asp:DropDownList
                id="TitleDropDownList"
                runat="server"
                selectedvalue="<%# Bind('Title') %>" >
                <asp:ListItem Selected="True">Sales Representative</asp:ListItem>
                <asp:ListItem>Sales Manager</asp:ListItem>
                <asp:ListItem>Vice President, Sales</asp:ListItem>
              </asp:DropDownList>
            </ItemTemplate>
          </asp:TemplateField>
          <asp:BoundField HeaderText="Notes" DataField="Notes" ReadOnly="False"/>
        </fields>
      </asp:DetailsView>


      <asp:SqlDataSource
        id="SqlDataSource2"
        runat="server"
        ConnectionString="<%$ ConnectionStrings:MyNorthwind%>"
        SelectCommand="SELECT * FROM Employees"
        InsertCommandType = "StoredProcedure"
        InsertCommand="sp_insertemployee"        
        OnInserting="On_Inserting"
        OnInserted ="On_Inserted"
        FilterExpression="EmployeeID={0}">
        <FilterParameters>
          <asp:ControlParameter Name="EmployeeID" ControlId="GridView1" PropertyName="SelectedValue" />
        </FilterParameters>
      </asp:SqlDataSource>

<!-- 
     -- An example sp_insertemployee stored procedure that returns
     -- the primary key of the row that was inserted in an OUT parameter.
     CREATE PROCEDURE sp_insertemployee 
        @FirstName nvarchar(10), 
        @LastName nvarchar(20) , 
        @Title nvarchar(30), 
        @Notes nvarchar(200), 
        @PK_New int OUTPUT
      AS
        INSERT INTO Employees(FirstName,LastName,Title,Notes)VALUES (@FirstName,@LastName,@Title,@Notes)
        SELECT @PK_New = @@IDENTITY
        RETURN (1)    
      GO
-->      

      <asp:Label 
        id="Label1"
        runat="server" />
      
    </form>
  </body>
</html>

Comentários

O InsertCommand representa uma consulta SQL ou o nome de um procedimento armazenado e é usado pelo Insert método .

Porque os produtos diferentes de base de dados usam diferentes variedades SQL, a sintaxe da cadeia de caracteres SQL depende do provedor atual do ADO.NET que está sendo usado, que é identificado pela propriedade de ProviderName . Se a cadeia de caracteres SQL é uma consulta ou comando parametrizado, o espaço reservado de parâmetro também depende do provedor ADO.NET sendo usado. Por exemplo, se o provedor for o System.Data.SqlClient, que é o provedor padrão para a SqlDataSource classe , o espaço reservado do parâmetro será '@parameterName'. No entanto, se o provedor estiver definido como ou System.Data.OdbcSystem.Data.OleDb, o espaço reservado do parâmetro será '?'. Para obter mais informações sobre consultas e comandos SQL parametrizados, consulte Usando parâmetros com o controle SqlDataSource.

O InsertCommand pode ser uma cadeia de caracteres SQL ou o nome de um procedimento armazenado, se a fonte de dados der suporte a procedimentos armazenados.

Essa propriedade delega à InsertCommand propriedade do SqlDataSourceView associado ao SqlDataSource controle .

Importante

Para fins de segurança, a InsertCommand propriedade não é armazenada é o estado de exibição. Como é possível decodificar o conteúdo do estado de exibição no cliente, armazenar informações confidenciais sobre a estrutura do banco de dados no estado de exibição pode resultar em uma vulnerabilidade de divulgação de informações.

Importante

Os valores são inseridos em parâmetros sem validação, o que é uma possível ameaça à segurança. Use o Filtering evento para validar valores de parâmetro antes de executar a consulta. Para obter mais informações, consulte Visão geral de explorações de script.

Aplica-se a

Produto Versões
.NET Framework 2.0, 3.0, 3.5, 4.0, 4.5, 4.5.1, 4.5.2, 4.6, 4.6.1, 4.6.2, 4.7, 4.7.1, 4.7.2, 4.8, 4.8.1

Confira também