ホームページ >データベース >mysql チュートリアル >C# を使用して MySQL にデータを安全に挿入する方法: AddWithValue とプレースホルダー?
MySQL での C#: 安全なデータ入力のための INSERT パラメーターの利用
C# プログラミングでは、MySQL データベースにデータを挿入する際には、次のことを避けるために慎重な考慮が必要です。セキュリティの脆弱性。このガイドでは、INSERT コマンドのパラメーター バインディングの問題に対処し、安全で効果的な解決策を提供します。
問題
MySqlCommand を使用する場合、Add メソッドを使用してパラメーターを指定するAddWithValue を使用しない場合、または正しいパラメーター名を渡さない場合、NULL 値の挿入または構文エラーが発生する可能性があります。これにより、データの整合性が損なわれ、アプリケーションが SQL インジェクション攻撃にさらされる可能性があります。
解決策
安全なデータ バインディングを確保するには、次の 2 つの推奨アプローチがあります。
AddWithValue メソッド:
AddWithValue メソッドを使用すると、パラメーター名やデータ型の変換を気にせずに、パラメーターに値を安全に挿入できます。
string connString = ConfigurationManager.ConnectionStrings["default"].ConnectionString; MySqlConnection conn = new MySqlConnection(connString); conn.Open(); MySqlCommand comm = conn.CreateCommand(); comm.CommandText = "INSERT INTO room(person,address) VALUES(@person, @address)"; comm.Parameters.AddWithValue("@person", "Myname"); comm.Parameters.AddWithValue("@address", "Myaddress"); comm.ExecuteNonQuery(); conn.Close();
使用して?プレースホルダー:
または、? を使用することもできます。 INSERT コマンドにプレースホルダーを追加し、次のようにパラメータを追加します。
string connString = ConfigurationManager.ConnectionStrings["default"].ConnectionString; MySqlConnection conn = new MySqlConnection(connString); conn.Open(); MySqlCommand comm = conn.CreateCommand(); comm.CommandText = "INSERT INTO room(person,address) VALUES(?person, ?address)"; comm.Parameters.Add("?person", "Myname"); comm.Parameters.Add("?address", "Myaddress"); comm.ExecuteNonQuery(); conn.Close();
いずれかのアプローチを利用すると、MySQL データベースにデータを安全に挿入でき、null 値の挿入や SQL インジェクションの脆弱性を防ぐことができます。
以上がC# を使用して MySQL にデータを安全に挿入する方法: AddWithValue とプレースホルダー?の詳細内容です。詳細については、PHP 中国語 Web サイトの他の関連記事を参照してください。