我正在构建一个C#控制台应用程序,它使用可在交换机菜单中修改的预定义参数来恢复SQL Server数据库。该应用程序的重点是简单性。它专为任何人提供,只需按一下按钮即可恢复SQL Server数据库。是的,应该有人可以胜任地完成这项任务,但是有很多方法应该做的事情......无论我是建立了逻辑来循环备份目录并根据一个点选择正确的备份文件及时。一切都有效,除了实际的恢复部分。
从我读过的其他问题来看,我担心不可能以这种方式从C#运行SQL来修改服务器。我不愿意使用SMO对象,因为这涉及到我想避免的额外复杂性,但如果这是我能做到的唯一方法,那就是我要做的。
每当我尝试运行此代码时,它都会抱怨@dbName值无效。
public static void RestoreDatabase(string Server_Name, string Instance_Name, string DB_Name, FileInfo BakFile, FileInfo DiffFile, FileInfo TrnFile, DateTime Point_In_Time)
{
SqlConnection conn = new SqlConnection();
conn.ConnectionString = "Data Source=" + Server_Name + "\\" + Instance_Name + ";Initial Catalog=master;Integrated Security=True";
string SqlQuery = @"ALTER DATABASE @dbName
SET SINGLE_USER
WITH ROLLBACK IMMEDIATE;
RESTORE DATABASE @dbName
FROM DISK = @BakFilePath
WITH NORECOVERY, REPLACE;
RESTORE DATABASE @dbName
FROM DISK = @DiffFilePath
WITH NORECOVERY;
RESTORE DATABASE @dbName
FROM DISK = @TrnFilePath
WITH RECOVERY, STOPAT = @RecoveryTime;
ALTER DATABASE @dbName
SET MULTI_USER;";
SqlCommand cmd = new SqlCommand();
cmd.CommandType = System.Data.CommandType.Text;
cmd.Connection = conn;
cmd.CommandText = SqlQuery;
try
{
cmd.Parameters.Add(new SqlParameter("@dbName", SqlDbType.NVarChar, 30));
cmd.Parameters.Add(new SqlParameter("@BakFilePath", SqlDbType.NVarChar, 255));
cmd.Parameters.Add(new SqlParameter("@DiffFilePath", SqlDbType.NVarChar, 255));
cmd.Parameters.Add(new SqlParameter("@TrnFilePath", SqlDbType.NVarChar, 255));
cmd.Parameters.Add(new SqlParameter("@RecoveryTime", SqlDbType.DateTime));
cmd.Parameters["@dbName"].Value = DB_Name;
cmd.Parameters["@BakFilePath"].Value = BakFile.FullName;
cmd.Parameters["@DiffFilePath"].Value = DiffFile.FullName;
cmd.Parameters["@TrnFilePath"].Value = TrnFile.FullName;
cmd.Parameters["@RecoveryTime"].Value = Point_In_Time;
}
catch (Exception ex)
{
Console.WriteLine(ex);
Console.ReadLine();
}
try
{
Console.WriteLine("Restoring {0}...", DB_Name);
cmd.Connection.Open();
cmd.ExecuteNonQuery();
cmd.Connection.Close();
Console.WriteLine("Restore Complete!");
Console.ReadLine();
}
catch (SqlException ex)
{
Console.WriteLine("Connection could not open. Error: {0}", ex);
Console.ReadLine();
}
}
8/15/2016 10:38
根据一些答案,你们建议使用动态SQL。我担心SQL注入,但只有管理员才能访问此程序。无论如何我还会添加更严格的验证,因为谁不喜欢把垃圾输入用于踢。
我曾尝试过动态SQL。这是我的代码,但是我没有花太多时间检查错误,所以我将再次走这条路,并尝试清除任何错误。
string SqlQuery = string.Format(@"DECLARE @dbName NVARCHAR(MAX), @strSQL NVarchar(MAX)=N'';
SET @dbName = {0};
SELECT
@strSQL += 'DECLARE @BakFilePath nvarchar(255) = N''{1}'','
+ N' @DiffFilePath nvarchar(255) = N''{2}'','
+ N' @TrnFilePath nvarchar(255) = N''{3}'','
+ N' @RecoveryTime DateTime = N''{4}'''
+ N' ALTER DATABASE '+ @dbName
+ N' SET SINGLE_USER'
+ N' WITH ROLLBACK IMMEDIATE;'
+ N' RESTORE DATABASE ' + @dbName
+ N' FROM DISK = @BakFilePath'
+ N' WITH NORECOVERY, REPLACE;'
+ N' RESTORE DATABASE ' + @dbName
+ N' FROM DISK = @DiffFilePath'
+ N' WITH NORECOVERY;'
+ N' RESTORE DATABASE ' + @dbName
+ N' FROM DISK = @TrnFilePath'
+ N' WITH RECOVERY, STOPAT = @RecoveryTime;'
+ N' ALTER DATABASE ' + @dbName
+ N' SET MULTI_USER;
'
EXEC sp_executesql @strSQL",DB_Name, BakFile.FullName, DiffFile.FullName, TrnFile.FullName, Point_In_Time);
遗憾的是,编写SQL的方式存在问题。我提供了一个有类似潜在问题的答案,你可以在这里找到它:
DROP PROCEDURE throws syntax error
sql-server会抱怨使用:
Restore Database @dbName
因为它是作为文字字符串传递的。你需要写这样的东西来执行你的代码。
declare @sql varchar(64);
set @sql = 'RESTORE DATABASE ' + @dbName;
exec(@sql);
更新 根据斯科特的评论,使用:
set @sql = 'RESTORE DATABASE ' + QUOTENAME(@dbName);
将转义字符串以创建有效的SQL Server分隔标识符:
@dbName无效。
传递参数时,必须遵守允许在sql语法中使用变量的规则。使用SELECT语句时,可以在列定义或where子句中使用变量,但不能用于引用特定的数据库对象。对于ALTER DATABASE,ATLER TABLE,CREATE TABLE等也是如此.....
所以基本上参数不能取代对象名,除非你使用动态sql,比如从参数构建sql字符串,如另一个答案所示。以这种方式动态SQL可以对SQL注入攻击非常开放,因此您应该确保您的源是可信的。
最后你问是否可能,答案是肯定的,只要用户拥有权限并且你的sql语句正确就可以执行,就可以从c#运行backup / alter database命令等。
您无法在SQL中参数化所有内容。
SELECT * FROM myTable WHERE customerID = @custID
已验证。
SELECT * FROM @tablename
不是。既没有使用ALTER DATABASE或RESTORE DATABASE参数。
这是设计的。修复是在将它发送到SQL之前在字符串中进行替换,但是当然你必须擦除传入的参数以查找错误的东西。
感谢大家的回答,他们引导我选择动态SQL。下面的代码是适用于我的SQL解决方案。我会解释发生了什么,因为圣牛会让它变得复杂(至少对我而言)。我的C#应用程序调用一个函数,我传递了五个参数:
然后在SQL String的变量定义中使用这些值。一旦在SQL字符串中设置了变量,它就变成了常规的动态SQL。动态SQL仍然是一个巨大的痛苦;搞清楚所有的单引号让我感到非常悲痛。动态SQL格式化后,就像使用C#执行的任何其他SQL语句一样。
更新:修改后的解决方案,在Scott Chamberlains请求时包含输入值的参数,并将整个函数作为解决方案包含在内。
public static void RestoreDatabase(string Server_Name, string Instance_Name, string DB_Name,
FileInfo BakFile, FileInfo DiffFile, FileInfo TrnFile, DateTime Point_In_Time)
{
SqlConnection conn = new SqlConnection();
conn.ConnectionString = "Data Source=" + Server_Name + "\\" + Instance_Name + ";Initial Catalog=master;Integrated Security=True";
string SqlQuery = string.Format(@"DECLARE @strSQL NVARCHAR(MAX) =''
SELECT
@strSQL += N'ALTER DATABASE ' + QUOTENAME(@dbName)
+ N' SET SINGLE_USER'
+ N' WITH ROLLBACK IMMEDIATE;'
+ N' RESTORE DATABASE ' + QUOTENAME(@dbName)
+ N' FROM DISK = N''' + @BakFilePath + ''''
+ N' WITH NORECOVERY, REPLACE;'
+ N' RESTORE DATABASE ' + QUOTENAME(@dbName) +
+ N' FROM DISK = N''' + @DiffFilePath + ''''
+ N' WITH NORECOVERY;'
+ N' RESTORE DATABASE ' + QUOTENAME(@dbName)
+ N' FROM DISK = N''' + @TrnFilePath + ''''
+ N' WITH NORECOVERY, STOPAT = N''' + @RecoveryTime + ''';'
+ N' RESTORE DATABASE ' + QUOTENAME(@dbName)
+ N' WITH RECOVERY;'
+ N' ALTER DATABASE ' + QUOTENAME(@dbName)
+ N' SET MULTI_USER;
'
EXEC sp_executesql @strSQL");
SqlCommand cmd = new SqlCommand();
cmd.CommandType = System.Data.CommandType.Text;
cmd.Connection = conn;
cmd.CommandText = SqlQuery;
try
{
cmd.Parameters.Add(new SqlParameter("@dbName", SqlDbType.NVarChar, 30));
cmd.Parameters.Add(new SqlParameter("@BakFilePath", SqlDbType.NVarChar, 255));
cmd.Parameters.Add(new SqlParameter("@DiffFilePath", SqlDbType.NVarChar, 255));
cmd.Parameters.Add(new SqlParameter("@TrnFilePath", SqlDbType.NVarChar, 255));
cmd.Parameters.Add(new SqlParameter("@RecoveryTime", SqlDbType.NVarChar,30));
cmd.Parameters["@dbName"].Value = DB_Name;
cmd.Parameters["@BakFilePath"].Value = BakFile.FullName;
cmd.Parameters["@DiffFilePath"].Value = DiffFile.FullName;
cmd.Parameters["@TrnFilePath"].Value = TrnFile.FullName;
cmd.Parameters["@RecoveryTime"].Value = Point_In_Time.ToString();
}
catch (Exception ex)
{
Console.WriteLine(ex);
Console.WriteLine("Press any key to exit");
Console.ReadLine();
}
try
{
Console.WriteLine("Restoring {0}...", DB_Name);
cmd.Connection.Open();
cmd.ExecuteNonQuery();
cmd.Connection.Close();
Console.WriteLine("Restore Complete!");
Console.WriteLine("Press any key to exit");
Console.ReadLine();
}
catch (SqlException ex)
{
Console.WriteLine("Connection could not open. Error: {0}", ex);
Console.ReadLine();
}
}