如何使用 C# 在 MySQL 中安全地执行参数化查询？

使用 C# 在 MySQL 中进行参数化查询

参数化查询是数据库编程的重要组成部分。它们允许您将 SQL 语句与查询中使用的数据分开。这有助于防止 SQL 注入攻击，并使您的代码更具可读性和可维护性。

要在 C# 中使用参数化查询，您需要创建一个 MySqlCommand 对象并向其添加参数。您可以使用 MySqlCommand 对象的Parameters 属性来执行此操作。

以下代码显示了如何使用参数化查询从 USERS 表中选择数据的示例：

private String readCommand = "SELECT LEVEL FROM USERS WHERE VAL_1 = ? AND VAL_2 = ?;";

public bool read(string id)
{
    level = -1;
    MySqlCommand m = new MySqlCommand(readCommand);
    m.Parameters.Add(new MySqlParameter("", val1));
    m.Parameters.Add(new MySqlParameter("", val2));
    MySqlDataReader r = m.ExecuteReader();
    if (r.HasRows)
        level = Convert.ToInt32(r.GetValue(0).ToString());
    r.Close();
    return true;
}

This代码将编译并运行，不会出现错误。但是，它不会返回预期的结果。问题是 SQL 语句中的参数名称与 MySqlCommand 对象中的参数名称不匹配。

要解决此问题，需要更改 SQL 语句中的参数名称以匹配 MySqlCommand 对象中的参数名称MySqlCommand 对象。您可以通过使用 @ 字符后跟参数名称来完成此操作。

以下代码显示如何解决该问题：

private String readCommand = "SELECT LEVEL FROM USERS WHERE VAL_1 = @param_val_1 AND VAL_2 = @param_val_2;";

public bool read(string id)
{
    level = -1;
    MySqlCommand m = new MySqlCommand(readCommand);
    m.Parameters.AddWithValue("@param_val_1", val1);
    m.Parameters.AddWithValue("@param_val_2", val2);
    level = Convert.ToInt32(m.ExecuteScalar());
    return true;
}

此代码将编译并运行，不会出现错误。它还会返回预期的结果。

以上是如何使用 C# 在 MySQL 中安全地执行参数化查询？的详细内容。更多信息请关注PHP中文网其他相关文章！