>데이터 베이스 >MySQL 튜토리얼 >C#을 사용하여 MySQL에 데이터를 안전하게 삽입하는 방법: AddWithValue와 자리 표시자?

C#을 사용하여 MySQL에 데이터를 안전하게 삽입하는 방법: AddWithValue와 자리 표시자?

DDD
DDD원래의
2024-11-07 17:24:03783검색

How to Securely Insert Data into MySQL Using C#: AddWithValue vs. Placeholders?

MySQL을 사용한 C#: 안전한 데이터 입력을 위해 INSERT 매개변수 활용

C# 프로그래밍에서 MySQL 데이터베이스에 데이터를 삽입하려면 다음과 같은 문제를 피하기 위해 신중하게 고려해야 합니다. 보안 취약점. 이 가이드에서는 INSERT 명령의 매개변수 바인딩 문제를 다루며 안전하고 효과적인 솔루션을 제공합니다.

문제

MySqlCommand를 사용할 때 Add 메서드를 사용하여 매개변수를 지정합니다. AddWithValue를 사용하지 않거나 올바른 매개변수 이름을 전달하지 않으면 null 값 삽입 또는 구문 오류가 발생할 수 있습니다. 이로 인해 데이터 무결성이 손상되고 애플리케이션이 SQL 주입 공격에 노출될 수 있습니다.

솔루션

보안 데이터 바인딩을 보장하기 위해 권장되는 두 가지 접근 방식이 있습니다.

AddWithValue 메서드:

AddWithValue 메서드를 사용하면 매개변수 이름이나 데이터 유형 변환에 대한 걱정 없이 매개변수에 값을 안전하게 삽입할 수 있습니다.

string connString = ConfigurationManager.ConnectionStrings["default"].ConnectionString;
MySqlConnection conn = new MySqlConnection(connString);
conn.Open();
MySqlCommand comm = conn.CreateCommand();
comm.CommandText = "INSERT INTO room(person,address) VALUES(@person, @address)";
comm.Parameters.AddWithValue("@person", "Myname");
comm.Parameters.AddWithValue("@address", "Myaddress");
comm.ExecuteNonQuery();
conn.Close();

? 자리 표시자:

또는 ? INSERT 명령에 자리 표시자를 추가하고 다음과 같이 매개변수를 추가합니다.

string connString = ConfigurationManager.ConnectionStrings["default"].ConnectionString;
MySqlConnection conn = new MySqlConnection(connString);
conn.Open();
MySqlCommand comm = conn.CreateCommand();
comm.CommandText = "INSERT INTO room(person,address) VALUES(?person, ?address)";
comm.Parameters.Add("?person", "Myname");
comm.Parameters.Add("?address", "Myaddress");
comm.ExecuteNonQuery();
conn.Close();

두 가지 접근 방식 중 하나를 활용하면 MySQL 데이터베이스에 데이터를 안전하게 삽입하여 null 값 삽입 및 SQL 주입 취약점을 방지할 수 있습니다.

위 내용은 C#을 사용하여 MySQL에 데이터를 안전하게 삽입하는 방법: AddWithValue와 자리 표시자?의 상세 내용입니다. 자세한 내용은 PHP 중국어 웹사이트의 기타 관련 기사를 참조하세요!

성명:
본 글의 내용은 네티즌들의 자발적인 기여로 작성되었으며, 저작권은 원저작자에게 있습니다. 본 사이트는 이에 상응하는 법적 책임을 지지 않습니다. 표절이나 침해가 의심되는 콘텐츠를 발견한 경우 admin@php.cn으로 문의하세요.