집 >데이터 베이스 >MySQL 튜토리얼 >C#을 사용하여 MySQL에 데이터를 안전하게 삽입하는 방법: AddWithValue와 자리 표시자?
MySQL을 사용한 C#: 안전한 데이터 입력을 위해 INSERT 매개변수 활용
C# 프로그래밍에서 MySQL 데이터베이스에 데이터를 삽입하려면 다음과 같은 문제를 피하기 위해 신중하게 고려해야 합니다. 보안 취약점. 이 가이드에서는 INSERT 명령의 매개변수 바인딩 문제를 다루며 안전하고 효과적인 솔루션을 제공합니다.
문제
MySqlCommand를 사용할 때 Add 메서드를 사용하여 매개변수를 지정합니다. AddWithValue를 사용하지 않거나 올바른 매개변수 이름을 전달하지 않으면 null 값 삽입 또는 구문 오류가 발생할 수 있습니다. 이로 인해 데이터 무결성이 손상되고 애플리케이션이 SQL 주입 공격에 노출될 수 있습니다.
솔루션
보안 데이터 바인딩을 보장하기 위해 권장되는 두 가지 접근 방식이 있습니다.
AddWithValue 메서드:
AddWithValue 메서드를 사용하면 매개변수 이름이나 데이터 유형 변환에 대한 걱정 없이 매개변수에 값을 안전하게 삽입할 수 있습니다.
string connString = ConfigurationManager.ConnectionStrings["default"].ConnectionString; MySqlConnection conn = new MySqlConnection(connString); conn.Open(); MySqlCommand comm = conn.CreateCommand(); comm.CommandText = "INSERT INTO room(person,address) VALUES(@person, @address)"; comm.Parameters.AddWithValue("@person", "Myname"); comm.Parameters.AddWithValue("@address", "Myaddress"); comm.ExecuteNonQuery(); conn.Close();
? 자리 표시자:
또는 ? INSERT 명령에 자리 표시자를 추가하고 다음과 같이 매개변수를 추가합니다.
string connString = ConfigurationManager.ConnectionStrings["default"].ConnectionString; MySqlConnection conn = new MySqlConnection(connString); conn.Open(); MySqlCommand comm = conn.CreateCommand(); comm.CommandText = "INSERT INTO room(person,address) VALUES(?person, ?address)"; comm.Parameters.Add("?person", "Myname"); comm.Parameters.Add("?address", "Myaddress"); comm.ExecuteNonQuery(); conn.Close();
두 가지 접근 방식 중 하나를 활용하면 MySQL 데이터베이스에 데이터를 안전하게 삽입하여 null 값 삽입 및 SQL 주입 취약점을 방지할 수 있습니다.
위 내용은 C#을 사용하여 MySQL에 데이터를 안전하게 삽입하는 방법: AddWithValue와 자리 표시자?의 상세 내용입니다. 자세한 내용은 PHP 중국어 웹사이트의 기타 관련 기사를 참조하세요!