asp.net中gridview如何实现数据更新操作？

在 ASP.NET 应用程序中，更新数据库是核心操作之一，无论是修改用户信息、更新产品库存还是处理业务流程数据，都离不开它，实现数据库更新的方式多种多样，从传统的 ADO.NET 到现代的对象关系映射（ORM）框架，如 Entity Framework Core (EF Core)，每种方法都有其适用场景和优缺点，本文将详细介绍在 ASP.NET 中更新数据库的两种主流方法，并提供最佳实践指导。

使用 Entity Framework Core (EF Core)

Entity Framework Core 是微软推荐的轻量级、可扩展且跨平台的 ORM 框架，它将数据库中的表映射为 C# 类（实体），将 SQL 查询封装为 LINQ 查询，极大地简化了数据访问代码，提高了开发效率。

设置 EF Core 环境

需要定义实体模型和数据库上下文。

• 实体模型：一个代表数据库表的 C# 类。

  public class Product
  {
      public int Id { get; set; }
      public string Name { get; set; }
      public decimal Price { get; set; }
      public bool IsActive { get; set; }
  }

• 数据库上下文：一个继承自 DbContext 的类，它是应用程序与数据库之间的桥梁。

  public class ApplicationDbContext : DbContext
  {
      public ApplicationDbContext(DbContextOptions<ApplicationDbContext> options) : base(options) { }
      public DbSet<Product> Products { get; set; }
  }

“先查询后更新”模式

这是最常用且最安全的方式,它确保你正在更新的实体确实存在于数据库中。

• 步骤：

  

  1. 从数据库中检索出需要更新的实体。
  2. 修改该实体的属性值。
  3. 调用 SaveChanges() 或 SaveChangesAsync() 方法将更改提交到数据库。

• 示例代码：

  public async Task UpdateProductPriceAsync(int productId, decimal newPrice)
  {
      // 1. 从数据库获取产品
      var productToUpdate = await _context.Products.FindAsync(productId);
      if (productToUpdate != null)
      {
          // 2. 修改属性
          productToUpdate.Price = newPrice;
          try
          {
              // 3. 保存更改
              await _context.SaveChangesAsync();
          }
          catch (DbUpdateConcurrencyException ex)
          {
              // 处理并发冲突
              // ...
          }
      }
  }

  EF Core 会自动跟踪实体的状态，当 productToUpdate 的属性被修改后，它的状态会变为 Modified，调用 SaveChangesAsync 时，EF Core 会生成并执行相应的 UPDATE SQL 语句。

“附加并更新”模式

当你从客户端（如 Web API 请求）接收到一个完整的实体对象，并且确定它在数据库中存在时，可以使用此模式，这种方式避免了额外的数据库查询，但需要谨慎处理。

• 步骤：

  1. 创建一个新的实体实例,或使用从客户端接收到的实例。
  2. 将其附加到 DbContext。
  3. 显式将其状态设置为 Modified。
  4. 调用 SaveChanges()。

• 示例代码：

  public async Task UpdateProductAsync(Product product)
  {
      // 1. 附加实体到上下文
      _context.Products.Attach(product);
      // 2. 将整个实体标记为已修改
      _context.Entry(product).State = EntityState.Modified;
      try
      {
          // 3. 保存更改
          await _context.SaveChangesAsync();
      }
      catch (DbUpdateConcurrencyException ex)
      {
          // 处理并发冲突
          // ...
      }
  }

  注意：此方法会更新实体的所有字段，即使某些字段的值并未改变，这可能导致“过度发布”安全风险，为避免此问题，可以只标记特定属性为已修改：

  

  _context.Entry(product).Property(p => p.Price).IsModified = true;
  _context.Entry(product).Property(p => p.IsActive).IsModified = true;

使用传统的 ADO.NET

对于需要极致性能控制或维护遗留系统的场景,直接使用 ADO.NET 仍然是一个可行的选择，它提供了对数据库操作最底层的控制，但代码编写更为繁琐。

核心步骤

• 创建连接：使用 SqlConnection 和连接字符串建立与数据库的连接。
• 创建命令：使用 SqlCommand 定义要执行的 UPDATE SQL 语句。
• 添加参数：使用 SqlParameter 为 SQL 语句传递参数，这是防止 SQL 注入攻击的关键。
• 执行命令：打开连接，调用 ExecuteNonQuery 执行命令，该命令返回受影响的行数。
• 关闭连接：使用 using 语句确保资源被正确释放。

示例代码

public void UpdateProductPrice_AdoNet(int productId, decimal newPrice)
{
    var connectionString = "your_connection_string_here";
    var query = "UPDATE Products SET Price = @Price WHERE Id = @Id";
    using (var connection = new SqlConnection(connectionString))
    {
        using (var command = new SqlCommand(query, connection))
        {
            // 添加参数以防止 SQL 注入
            command.Parameters.AddWithValue("@Price", newPrice);
            command.Parameters.AddWithValue("@Id", productId);
            try
            {
                connection.Open();
                int rowsAffected = command.ExecuteNonQuery();
                // 可以根据 rowsAffected 判断是否更新成功
            }
            catch (SqlException ex)
            {
                // 处理数据库异常
                // ...
            }
        } // command 会在此处被自动释放
    } // connection 会在此处被自动释放
}

两种方法的比较

特性	Entity Framework Core	ADO.NET
开发效率	高，代码简洁，专注于业务逻辑	低，需要编写大量模板化代码
性能	良好，但存在轻微的 ORM 开销	极高，直接执行 SQL，无额外开销
控制力	较低，由 EF 自动生成 SQL	极高，可以完全掌控 SQL 语句
安全性	内置参数化查询，有效防止 SQL 注入	需要开发者手动使用参数化查询
可维护性	高，代码与数据库结构解耦	低，SQL 字符串散布在代码中
学习曲线	中等，需要理解 ORM 和 LINQ 概念	较低，但对 SQL 熟练度要求高

最佳实践与注意事项

1. 优先使用异步：在 ASP.NET Core 中，始终使用 async/await 模式（如 FindAsync, SaveChangesAsync）进行数据库操作，以避免阻塞线程，提高应用程序的吞吐量和响应能力。
2. 防止 SQL 注入：无论使用哪种方法，都必须警惕 SQL 注入，EF Core 通过参数化查询自动处理，使用 ADO.NET 时，严禁直接拼接 SQL 字符串，必须使用 SqlParameter。
3. 处理并发：当多个用户可能同时更新同一条记录时，需要实现并发控制，EF Core 内置了对并发令牌的支持，可以通过配置 ConcurrencyCheck 特性或使用 RowVersion 来处理。
4. 错误处理：使用 try-catch 块捕获并处理可能发生的数据库异常，如 DbUpdateException、SqlException 等，确保应用程序的健壮性。
5. 资源管理：使用 using 语句确保 SqlConnection、SqlCommand 等 ADO.NET 对象被正确释放，对于 EF Core，DbContext 的生命周期通常由依赖注入容器管理，确保其在每个请求结束时被释放。

相关问答 (FAQs)

Q1: 在我的新项目中，我应该选择 EF Core 还是 ADO.NET？

A: 对于绝大多数新项目，强烈推荐使用 Entity Framework Core，它的主要优势在于显著提升的开发效率和代码可维护性，你可以用更少的代码完成相同的功能，并且代码更具可读性和业务表达力，EF Core 自动处理了参数化查询、连接管理和对象状态跟踪等繁琐工作，让你能更专注于业务逻辑本身，只有在你遇到极端性能瓶颈，需要对 SQL 执行进行微调，或者需要与一个设计非常特殊的遗留数据库交互时，才考虑使用 ADO.NET，即使在 EF Core 项目中，也可以通过执行原生 SQL 来处理特定的高性能场景。

Q2: 使用 EF Core 更新数据时，如何完全避免“过度发布”风险？

A: “过度发布”是指客户端提交的数据比你预期更新的字段要多，从而可能修改了不应被修改的属性（如 IsAdmin 标志），除了前文提到的逐个标记属性为 IsModified = true 外，还有两种更现代、更安全的方法：

1. 使用 DTO (Data Transfer Object)：创建一个仅包含你允许更新字段的视图模型或 DTO 类，创建一个 UpdateProductPriceDto，它只包含 Price 属性，在控制器操作中，接收这个 DTO 而不是完整的 Product 实体，然后手动将 DTO 的值映射到从数据库获取的实体上，这是最推荐、最清晰的做法。
2. ：在 ASP.NET Core MVC 或 Razor Pages 中，可以使用 TryUpdateModelAsync 方法，这个方法允许你明确指定哪些属性是允许被更新的，从而自动忽略其他来自请求的字段，它提供了一种在控制器内部进行白名单控制的便捷方式。