怎么在C语言里写创建数据库的SQL语句？

在C语言编程中，直接操作数据库并非其内置功能，因为C是一门通用、底层的系统编程语言，通过使用特定数据库系统提供的C语言接口库（API），我们可以轻松地在C程序中构建和执行数据库语句，从而实现对数据库的创建、查询、更新和管理，这个过程的核心在于将SQL（Structured Query Language）语句以字符串的形式嵌入到C代码中，并通过API函数传递给数据库管理系统（DBMS）执行。

核心原理与通用流程

无论连接的是哪种数据库（如SQLite、MySQL、PostgreSQL）,其基本流程都遵循相似的逻辑：

1. 引入头文件：包含数据库API提供的头文件，例如sqlite3.h或mysql.h。
2. 建立连接：使用API函数连接到数据库服务器或打开一个本地数据库文件，此过程通常会返回一个连接对象或句柄,用于后续的所有操作。
3. 构建SQL语句：将标准的SQL命令（如CREATE TABLE, INSERT, SELECT等）编写为C语言的字符串。
4. 执行SQL语句：调用API函数，将连接句柄和SQL语句字符串作为参数传入,以执行命令。
5. 处理结果：对于查询语句（SELECT），需要遍历返回的结果集，对于其他语句（如INSERT, UPDATE）,通常检查受影响的行数或操作是否成功。
6. 关闭连接：操作完成后，释放资源,关闭与数据库的连接。

实践案例：使用SQLite构建数据库

SQLite是一个轻量级的、基于文件的嵌入式数据库，非常适合在C语言项目中学习和使用，因为它无需独立的服务器进程,配置简单。

准备工作

需要从SQLite官方网站下载预编译的库文件（对于Windows是sqlite3.dll和sqlite3.def）以及头文件sqlite3.h，在编译时,需要链接这些库。

代码示例与解析

以下是一个完整的C程序示例，它演示了如何创建一个数据库文件、创建表、插入数据并查询数据。

#include <stdio.h>
#include <sqlite3.h>
// 回调函数，用于处理SELECT查询的每一行结果
int callback(void *NotUsed, int argc, char **argv, char **azColName) {
    for (int i = 0; i < argc; i++) {
        printf("%s = %sn", azColName[i], argv[i] ? argv[i] : "NULL");
    }
    printf("n");
    return 0;
}
int main() {
    sqlite3 *db;          // 数据库连接句柄
    char *errMsg = 0;     // 错误信息
    int rc;               // 返回代码
    // 1. 打开（或创建）数据库文件
    rc = sqlite3_open("test.db", &db);
    if (rc) {
        fprintf(stderr, "无法打开数据库: %sn", sqlite3_errmsg(db));
        return(0);
    } else {
        fprintf(stdout, "数据库成功打开，n");
    }
    // 2. 构建并执行CREATE TABLE语句
    const char *sqlCreateTable = "CREATE TABLE COMPANY("
                                 "ID INT PRIMARY KEY     NOT NULL,"
                                 "NAME           TEXT    NOT NULL,"
                                 "AGE            INT     NOT NULL,"
                                 "ADDRESS        CHAR(50),"
                                 "SALARY         REAL );";
    rc = sqlite3_exec(db, sqlCreateTable, callback, 0, &errMsg);
    if (rc != SQLITE_OK) {
        // 如果表已存在，会返回错误，这是正常的
        fprintf(stderr, "创建表错误: %sn", errMsg);
        sqlite3_free(errMsg);
    } else {
        fprintf(stdout, "表创建成功，n");
    }
    // 3. 构建并执行INSERT语句
    const char *sqlInsert = "INSERT INTO COMPANY (ID,NAME,AGE,ADDRESS,SALARY) "
                            "VALUES (1, 'Paul', 32, 'California', 20000.00 ); "
                            "INSERT INTO COMPANY (ID,NAME,AGE,ADDRESS,SALARY) "
                            "VALUES (2, 'Allen', 25, 'Texas', 15000.00 );";
    rc = sqlite3_exec(db, sqlInsert, callback, 0, &errMsg);
    if (rc != SQLITE_OK) {
        fprintf(stderr, "插入数据错误: %sn", errMsg);
        sqlite3_free(errMsg);
    } else {
        fprintf(stdout, "数据插入成功，n");
    }
    // 4. 构建并执行SELECT语句
    const char *sqlSelect = "SELECT * FROM COMPANY;";
    printf("查询结果:n");
    rc = sqlite3_exec(db, sqlSelect, callback, 0, &errMsg);
    if (rc != SQLITE_OK) {
        fprintf(stderr, "查询错误: %sn", errMsg);
        sqlite3_free(errMsg);
    }
    // 5. 关闭数据库连接
    sqlite3_close(db);
    return 0;
}

在这个例子中，sqlite3_exec()函数是一个非常便捷的接口，它可以直接执行SQL字符串，对于SELECT查询，它通过一个回调函数（此处的callback）来逐行处理结果。

其他数据库系统简介

除了SQLite，其他主流数据库也提供了成熟的C API。

数据库系统	主要特点	C语言API核心函数
MySQL	功能强大、性能优异、广泛应用，需要独立服务器。	mysql_init(), mysql_real_connect(), mysql_query(), mysql_store_result()
PostgreSQL	功能最全面的开源关系型数据库，高度可扩展。	PQconnectdb(), PQexec(), PQgetvalue(), PQfinish()

虽然API函数名称和连接方式不同，但“连接-执行-处理-关闭”的核心思想是完全一致的。

安全与最佳实践：防范SQL注入

直接使用字符串拼接来构建SQL语句（如 sprintf(sql, "SELECT * FROM users WHERE name='%s'", userName);）存在严重的安全风险，称为SQL注入,攻击者可以通过输入特殊字符来篡改SQL逻辑。

更安全的做法是使用预处理语句，SQLite中对应的函数是sqlite3_prepare_v2(), sqlite3_bind_*(), 和 sqlite3_step()，预处理语句先将SQL模板编译好，然后安全地绑定变量,从根本上杜绝了注入风险。

// 使用预处理语句的安全示例
sqlite3_stmt *stmt;
const char *sql = "INSERT INTO COMPANY (ID, NAME, AGE) VALUES (?, ?, ?);";
rc = sqlite3_prepare_v2(db, sql, -1, &stmt, NULL);
if (rc == SQLITE_OK) {
    sqlite3_bind_int(stmt, 1, 3); // 绑定第一个问号为整数3
    sqlite3_bind_text(stmt, 2, "Teddy", -1, SQLITE_TRANSIENT); // 绑定第二个问号为字符串
    sqlite3_bind_int(stmt, 3, 23); // 绑定第三个问号为整数23
    sqlite3_step(stmt); // 执行
    sqlite3_finalize(stmt); // 释放语句
}

---

相关问答FAQs

问1：C语言可以直接操作数据库吗，不需要安装任何东西？

答： 不可以，C语言本身是一门通用编程语言，不包含任何与数据库交互的内置功能，要操作数据库，必须满足两个条件：1）安装一个数据库管理系统（如SQLite、MySQL、PostgreSQL等）；2）在C项目中引入该数据库系统提供的C语言接口库（通常是头文件和链接库），通过这些库提供的API函数,C程序才能与数据库进行通信。

问2：使用 sqlite3_exec 和使用预处理语句（sqlite3_prepare_v2）有什么区别？我应该用哪个？

答： 主要区别在于安全性、灵活性和性能。

• sqlite3_exec：简单快捷，适合执行一次性的、不包含外部输入的静态SQL语句（如创建表、删除表），它通过回调函数处理查询结果，如果SQL语句中包含用户输入,直接拼接字符串会造成SQL注入漏洞。
• 预处理语句（sqlite3_prepare_v2等）：更安全、更高效，它将SQL命令模板和参数分开处理，通过bind系列函数安全地绑定变量，能有效防止SQL注入，对于需要重复执行的相似查询（如在循环中插入多行数据），预处理语句只需编译一次,性能更高。

选择建议：任何涉及外部数据（如用户输入、文件读取）的SQL操作，都应强制使用预处理语句，对于简单的、无参数的内部DDL（数据定义语言）操作，可以使用sqlite3_exec以简化代码。