C#을 사용하여 MySQL에서 매개변수화된 쿼리를 안전하게 실행하는 방법은 무엇입니까?

C#을 사용하는 MySQL의 매개변수화된 쿼리

매개변수화된 쿼리는 데이터베이스 프로그래밍의 중요한 부분입니다. 이를 통해 쿼리에 사용된 데이터에서 SQL 문을 분리할 수 있습니다. 이는 SQL 삽입 공격을 방지하는 데 도움이 되며 코드를 더 읽기 쉽고 유지 관리하기 쉽게 만들 수 있습니다.

C#에서 매개 변수가 있는 쿼리를 사용하려면 MySqlCommand 개체를 생성하고 여기에 매개 변수를 추가해야 합니다. MySqlCommand 개체의 매개 변수 속성을 사용하여 이 작업을 수행할 수 있습니다.

다음 코드는 매개 변수가 있는 쿼리를 사용하여 USERS 테이블에서 데이터를 선택하는 방법의 예를 보여줍니다.

private String readCommand = "SELECT LEVEL FROM USERS WHERE VAL_1 = ? AND VAL_2 = ?;";

public bool read(string id)
{
    level = -1;
    MySqlCommand m = new MySqlCommand(readCommand);
    m.Parameters.Add(new MySqlParameter("", val1));
    m.Parameters.Add(new MySqlParameter("", val2));
    MySqlDataReader r = m.ExecuteReader();
    if (r.HasRows)
        level = Convert.ToInt32(r.GetValue(0).ToString());
    r.Close();
    return true;
}

이것은 코드는 오류 없이 컴파일되고 실행됩니다. 그러나 예상된 결과가 반환되지는 않습니다. 문제는 SQL 문의 매개변수 이름이 MySqlCommand 개체의 매개변수 이름과 일치하지 않는다는 것입니다.

이 문제를 해결하려면 SQL 문의 매개변수 이름을 MySqlCommand 개체의 매개변수 이름과 일치하도록 변경해야 합니다. MySqlCommand 개체. @ 문자 뒤에 매개변수 이름을 사용하면 됩니다.

다음 코드는 문제 해결 방법을 보여줍니다.

private String readCommand = "SELECT LEVEL FROM USERS WHERE VAL_1 = @param_val_1 AND VAL_2 = @param_val_2;";

public bool read(string id)
{
    level = -1;
    MySqlCommand m = new MySqlCommand(readCommand);
    m.Parameters.AddWithValue("@param_val_1", val1);
    m.Parameters.AddWithValue("@param_val_2", val2);
    level = Convert.ToInt32(m.ExecuteScalar());
    return true;
}

이 코드는 오류 없이 컴파일되고 실행됩니다. 또한 예상한 결과가 반환됩니다.

위 내용은 C#을 사용하여 MySQL에서 매개변수화된 쿼리를 안전하게 실행하는 방법은 무엇입니까?의 상세 내용입니다. 자세한 내용은 PHP 중국어 웹사이트의 기타 관련 기사를 참조하세요!