C语言如何执行SQL语句修改数据库中的数值？

C语言本身并不直接包含操作数据库的功能，它是一种系统编程语言，专注于内存管理和硬件交互，要使用C语言修改数据库中的数值，我们需要借助特定数据库提供的C语言接口库（API），几乎所有的主流数据库，如SQLite、MySQL、PostgreSQL等,都提供了官方或第三方的C语言库。

本文将以轻量级、嵌入式数据库SQLite为例，详细阐述在C语言中如何安全、高效地修改数据库的数值，SQLite的API简洁明了，非常适合入门学习,并且其C语言接口是业内公认的优秀范例。

准备工作：安装SQLite库

在开始编码之前,你需要确保你的开发环境中已经安装了SQLite的开发库。

• 在Linux (如Ubuntu/Debian)上：
  可以通过apt包管理器轻松安装：

  sudo apt-get update
  sudo apt-get install sqlite3 libsqlite3-dev

  sqlite3是命令行工具，libsqlite3-dev则包含了我们编程所需的头文件和链接库。

• 在macOS上：
  通常系统自带SQLite，如果没有或需要更新,可以使用Homebrew：

  brew install sqlite

• 在Windows上：
  可以从SQLite官网（https://www.sqlite.org/download.html）下载预编译的DLL文件和头文件，并配置到你的IDE（如Visual Studio）项目中。

核心步骤：修改数据的流程

在C语言中通过SQLite修改数据库数据，通常遵循以下四个核心步骤：连接数据库、准备SQL语句、执行SQL语句、关闭数据库连接。

连接数据库

需要使用 sqlite3_open() 函数来打开一个数据库文件，如果文件不存在,该函数会尝试创建它。

sqlite3 *db; // 数据库连接句柄
int rc = sqlite3_open("test.db", &db);
if (rc != SQLITE_OK) {
    fprintf(stderr, "无法打开数据库: %sn", sqlite3_errmsg(db));
    // 错误处理...
} else {
    fprintf(stdout, "数据库打开成功!n");
}

sqlite3 是一个不透明的结构体指针，代表一个数据库连接。sqlite3_errmsg(db) 函数可以获取最近的错误信息,这在调试时非常有用。

准备并执行SQL UPDATE语句

修改数据库数值的核心是执行SQL的 UPDATE 语句。UPDATE students SET score = 95 WHERE id = 101;，在C语言中，执行SQL语句主要有两种方式：便捷的 sqlite3_exec() 和更安全、更强大的预编译语句。

方式对比：

特性	sqlite3_exec()	预编译语句 (prepare_v2, bind_*, step)
易用性	简单，一行代码即可执行	复杂，需要多个函数配合
安全性	低，容易受到SQL注入攻击	高，通过参数绑定有效防止SQL注入
性能	较差，每次都需要解析SQL	好，特别是重复执行时，只需解析一次
适用场景	一次性、无外部参数的SQL语句	包含用户输入、需要重复执行的SQL语句

强烈推荐使用预编译语句。 下面是使用预编译语句修改数值的详细过程：

1. 准备SQL语句模板： 使用 sqlite3_prepare_v2() 将SQL语句编译成一个内部的字节码程序，SQL中的值用问号 作为占位符。

   const char *sql = "UPDATE students SET score = ? WHERE id = ?;";
   sqlite3_stmt *stmt;
   rc = sqlite3_prepare_v2(db, sql, -1, &stmt, NULL);
   if (rc != SQLITE_OK) {
       fprintf(stderr, "SQL语句准备失败: %sn", sqlite3_errmsg(db));
       // 错误处理...
   }

2. 绑定参数： 使用 sqlite3_bind_*() 系列函数将C语言中的变量安全地绑定到SQL语句的占位符上。

   int new_score = 95;
   int student_id = 101;
   // 将 new_score 绑定到第一个问号（索引从1开始）
   sqlite3_bind_int(stmt, 1, new_score);
   // 将 student_id 绑定到第二个问号
   sqlite3_bind_int(stmt, 2, student_id);

   这样做的好处是，无论 new_score 或 student_id 的值是什么，它们都会被当作纯数据处理，永远不会被解释为SQL代码,从而杜绝了SQL注入风险。

3. 执行语句： 使用 sqlite3_step() 函数执行编译好的语句。

   rc = sqlite3_step(stmt);
   if (rc != SQLITE_DONE) {
       fprintf(stderr, "SQL执行失败: %sn", sqlite3_errmsg(db));
   } else {
       printf("成功更新了 %d 行数据n", sqlite3_changes(db));
   }

   sqlite3_changes() 可以返回最近一次执行的 UPDATE、INSERT 或 DELETE 语句所影响的行数。

4. 销毁语句对象： 执行完毕后，必须使用 sqlite3_finalize() 释放 sqlite3_stmt 对象占用的内存。

   

   sqlite3_finalize(stmt);

关闭数据库连接

当所有数据库操作完成后，使用 sqlite3_close() 函数来关闭连接,释放相关资源。

sqlite3_close(db);

完整示例代码

下面是一个完整的C程序示例，它连接到一个名为 test.db 的数据库，创建一个 students 表（如果不存在），然后更新 id 为1的学生分数。

#include <stdio.h>
#include <sqlite3.h>
int main() {
    sqlite3 *db;
    char *err_msg = 0;
    int rc;
    // 1. 打开数据库
    rc = sqlite3_open("test.db", &db);
    if (rc != SQLITE_OK) {
        fprintf(stderr, "无法打开数据库: %sn", sqlite3_errmsg(db));
        return 1;
    }
    // 创建一个示例表（如果不存在）
    const char *create_table_sql = "CREATE TABLE IF NOT EXISTS students ("
                                   "id INTEGER PRIMARY KEY,"
                                   "name TEXT NOT NULL,"
                                   "score INTEGER);";
    rc = sqlite3_exec(db, create_table_sql, 0, 0, &err_msg);
    if (rc != SQLITE_OK) {
        fprintf(stderr, "创建表失败: %sn", err_msg);
        sqlite3_free(err_msg);
        sqlite3_close(db);
        return 1;
    }
    // 插入一些初始数据（如果表为空）
    sqlite3_exec(db, "INSERT OR IGNORE INTO students (id, name, score) VALUES (1, '张三', 80), (2, '李四', 88);", 0, 0, &err_msg);
    // 2. 使用预编译语句更新数据
    const char *update_sql = "UPDATE students SET score = ? WHERE id = ?;";
    sqlite3_stmt *stmt;
    rc = sqlite3_prepare_v2(db, update_sql, -1, &stmt, NULL);
    if (rc != SQLITE_OK) {
        fprintf(stderr, "准备SQL失败: %sn", sqlite3_errmsg(db));
        sqlite3_close(db);
        return 1;
    }
    // 绑定参数并执行
    int new_score = 95;
    int student_id_to_update = 1;
    sqlite3_bind_int(stmt, 1, new_score);
    sqlite3_bind_int(stmt, 2, student_id_to_update);
    rc = sqlite3_step(stmt);
    if (rc == SQLITE_DONE) {
        printf("成功将ID为 %d 的学生分数更新为 %dn", student_id_to_update, new_score);
        printf("共影响 %d 行n", sqlite3_changes(db));
    } else {
        fprintf(stderr, "更新数据失败: %sn", sqlite3_errmsg(db));
    }
    // 3. 清理
    sqlite3_finalize(stmt);
    sqlite3_close(db);
    return 0;
}

要编译此代码,请确保链接了SQLite库：

gcc update_data.c -o update_data -lsqlite3

然后运行 ./update_data 即可看到效果。

相关问答FAQs

问题1：除了SQLite，C语言还能连接哪些数据库？

答： 当然可以,几乎所有主流数据库都提供了C语言接口。

• MySQL: 可以使用官方的 MySQL C Connector 库，它允许C程序连接到远程或本地的MySQL服务器,执行完整的SQL操作。
• PostgreSQL: 提供了名为 libpq 的官方C语言客户端库,功能非常强大和稳定。
• ODBC (Open Database Connectivity): 这是一个更通用的数据库访问标准，C程序可以通过ODBC驱动程序连接到任何支持ODBC的数据库（如SQL Server, Oracle, Access等），无需为每种数据库学习特定的API,但配置相对复杂一些。

问题2：为什么推荐使用预编译语句而不是直接用 sprintf 拼接SQL字符串？

答： 这主要出于安全性和性能的考虑,其中安全性是首要原因。

1. 安全性（防止SQL注入）： 如果你使用 sprintf 或类似函数直接将用户输入拼接到SQL语句中，恶意用户可以输入特殊构造的字符串来改变你的SQL逻辑，你想更新分数，用户却输入了 95; DROP TABLE students;--，拼接后的SQL就变成了 UPDATE students SET score = 95; DROP TABLE students;-- WHERE id = 101;，这会导致整个表被删除，而预编译语句通过 sqlite3_bind_* 绑定参数，用户输入永远只被当作数据处理，无法破坏SQL结构,从而从根本上杜绝了SQL注入。
2. 性能： 数据库在执行SQL时，需要先进行语法分析和解析，生成执行计划，对于 sqlite3_exec，每次执行这个解析过程，而预编译语句只需要解析一次，之后可以重复绑定不同的参数多次执行，省去了重复解析的开销,在需要执行大量相似操作时性能优势明显。