Wie behebe ich die veraltete Warnung „MySqlCommand.Command.Parameters.Add' und verhindere die SQL-Injection?

MySqlCommand.Command.Parameters.Add veraltete Warnung: Übergang zu AddWithValue

Frage:

Wenn Sie MySqlCommand verwenden, um Daten in eine MySQL-Datenbank einzufügen, erhalten Sie eine Warnung, die darauf hinweist, dass „MySqlCommand.Command.Parameters.Add veraltet ist“ und die Parameterwerte nicht korrekt eingefügt werden. Wie können Sie dieses Problem beheben und die SQL-Injection-Sicherheit gewährleisten?

Antwort:

Um die Warnung zu beheben und die SQL-Injection-Prävention zu verbessern, sollten Sie von der Verwendung von „Hinzufügen“ auf „Hinzufügen“ umsteigen. zu „AddWithValue“ zum Hinzufügen von Parametern zu Ihrem MySqlCommand.

Geändert Code:

...
command.Parameters.AddWithValue("@mcUserName", mcUserNameNew);
command.Parameters.AddWithValue("@mcUserPass", mcUserPassNew);
command.Parameters.AddWithValue("@twUserName", twUserNameNew);
command.Parameters.AddWithValue("@twUserPass", twUserPassNew);
...

Zusätzliche Überlegungen:

• Entfernen Sie die einfachen Anführungszeichen um die Parameterplatzhalter in Ihrer SQL-Anweisung:

string SQL = "INSERT INTO `twMCUserDB` (`mc_userName`, `mc_userPass`, `tw_userName`, `tw_userPass`) VALUES (@mcUserName, @mcUserPass, @twUserName, @twUserPass)";

Das obige ist der detaillierte Inhalt vonWie behebe ich die veraltete Warnung „MySqlCommand.Command.Parameters.Add' und verhindere die SQL-Injection?. Für weitere Informationen folgen Sie bitte anderen verwandten Artikeln auf der PHP chinesischen Website!