Warum erhalte ich beim Einfügen von Daten in MySQL mit C# die Fehlermeldung „Personenspalte darf nicht Null sein'?

C# mit MySQL-INSERT-Parametern

Die Verwendung von Parametern in MySQL-INSERT-Anweisungen ist eine entscheidende Vorgehensweise zur Wahrung der Datenintegrität und zur Verhinderung von SQL-Injection-Angriffen. Sie sind jedoch auf Probleme mit Ihrem Code gestoßen, und wir sind hier, um Ihnen bei der Lösung zu helfen.

Ursprüngliches Problem:

In Ihrem ursprünglichen Code, Sie hat versucht, eine INSERT-Anweisung mit Parametern auszuführen, indem:

comm.Parameters.Add("@person", "Myname");
comm.Parameters.Add("@address", "Myaddress");

Die Fehlermeldung „Personenspalte darf nicht null sein“ zeigt jedoch an, dass Sie das Festlegen eines Werts für den Personenparameter versäumt haben.

Lösung:

Um dieses Problem zu beheben, müssen Sie den Parametern Werte zuweisen:

comm.Parameters.Add("@person", MySqlDbType.VarChar).Value = "Myname";
comm.Parameters.Add("@address", MySqlDbType.VarChar).Value = "Myaddress";

SQL-Injection-Schwachstelle:

Sie haben auch erwähnt, dass die Verwendung einer Literalzeichenfolge in der INSERT-Anweisung (z. B. „INSERT INTO room(person,address) VALUES('Myname', 'Myaddress')") keinen Fehler erzeugt. Diese Vorgehensweise ist jedoch anfällig für SQL-Injection-Angriffe, bei denen böswillige Benutzer die Eingabe manipulieren können, um beliebige SQL-Befehle auszuführen.

Alternative Lösung:

Stattdessen können Sie Folgendes verwenden die AddWithValue-Methode, die die Parametrisierung automatisch übernimmt und SQL-Injection verhindert:

comm.Parameters.AddWithValue("@person", "Myname");
comm.Parameters.AddWithValue("@address", "Myaddress");

Fragezeichen verwenden:

Eine andere Möglichkeit besteht darin, Fragezeichen als Platzhalter für Parameter zu verwenden. wie:

comm.CommandText = "INSERT INTO room(person,address) VALUES(?person, ?address)";
comm.Parameters.Add("?person", "Myname");
comm.Parameters.Add("?address", "Myaddress");

Stellen Sie sicher, dass Sie den MySQL-Datentyp für jeden Parameter mithilfe der MySqlDbType-Enumeration angeben.

Indexbasierte Parameter:

Ihr Versuch, indexbasierte Parameter (z. B. cmd.Parameters.Add("person", MySqlDbType.VarChar).Value = a;) zu verwenden, ist ungültig. Der indexbasierte Ansatz gilt für gespeicherte Prozeduren, nicht für parametrisierte Abfragen.

Gelöster Code:

Letztendlich wurde Ihr Code mithilfe des folgenden Ansatzes aufgelöst:

cmd.CommandText = "INSERT INTO room(person,address) VALUES(?person,?address)";
cmd.Parameters.Add("?person", MySqlDbType.VarChar).Value = "myname";
cmd.Parameters.Add("?address", MySqlDbType.VarChar).Value = "myaddress";
cmd.ExecuteNonQuery();

Dieser Code führt die INSERT-Anweisung erfolgreich aus und schützt gleichzeitig vor SQL-Injection.

Das obige ist der detaillierte Inhalt vonWarum erhalte ich beim Einfügen von Daten in MySQL mit C# die Fehlermeldung „Personenspalte darf nicht Null sein'?. Für weitere Informationen folgen Sie bitte anderen verwandten Artikeln auf der PHP chinesischen Website!