C# を使用して MySQL でパラメータ化されたクエリを安全に実行する方法

C# を使用した MySQL のパラメータ化されたクエリ

パラメータ化されたクエリはデータベース プログラミングの重要な部分です。これにより、クエリで使用されるデータから SQL ステートメントを分離できます。これにより、SQL インジェクション攻撃を防止し、コードを読みやすく保守しやすくすることができます。

C# でパラメーター化されたクエリを使用するには、MySqlCommand オブジェクトを作成し、それにパラメーターを追加する必要があります。これは、MySqlCommand オブジェクトの Parameters プロパティを使用して実行できます。

次のコードは、パラメーター化されたクエリを使用して USERS テーブルからデータを選択する方法の例を示しています。

private String readCommand = "SELECT LEVEL FROM USERS WHERE VAL_1 = ? AND VAL_2 = ?;";

public bool read(string id)
{
    level = -1;
    MySqlCommand m = new MySqlCommand(readCommand);
    m.Parameters.Add(new MySqlParameter("", val1));
    m.Parameters.Add(new MySqlParameter("", val2));
    MySqlDataReader r = m.ExecuteReader();
    if (r.HasRows)
        level = Convert.ToInt32(r.GetValue(0).ToString());
    r.Close();
    return true;
}

これコードはエラーなしでコンパイルおよび実行されます。ただし、期待される結果は返されません。問題は、SQL ステートメントのパラメータ名が MySqlCommand オブジェクトのパラメータ名と一致しないことです。

この問題を解決するには、SQL ステートメントのパラメータ名を、次のパラメータ名と一致するように変更する必要があります。 MySqlCommand オブジェクト。これを行うには、@ 文字の後にパラメータ名を続けます。

次のコードは、問題を修正する方法を示しています。

private String readCommand = "SELECT LEVEL FROM USERS WHERE VAL_1 = @param_val_1 AND VAL_2 = @param_val_2;";

public bool read(string id)
{
    level = -1;
    MySqlCommand m = new MySqlCommand(readCommand);
    m.Parameters.AddWithValue("@param_val_1", val1);
    m.Parameters.AddWithValue("@param_val_2", val2);
    level = Convert.ToInt32(m.ExecuteScalar());
    return true;
}

このコードは、エラーなしでコンパイルおよび実行されます。また、期待される結果も返されます。

以上がC# を使用して MySQL でパラメータ化されたクエリを安全に実行する方法の詳細内容です。詳細については、PHP 中国語 Web サイトの他の関連記事を参照してください。