本教程的这一部分向您展示了如何在 MySQL Connector/NET 应用程序中使用参数。
尽管可以直接从用户输入构建 SQL 查询字符串,但这是不可取的,因为它不能防止输入错误或恶意信息。使用参数更安全,因为它们将仅作为字段数据进行处理。例如,假设以下查询是根据用户输入构建的:
string sql = "SELECT Name, HeadOfState FROM Country WHERE Continent = "+user_continent;
如果字符串user_continent来自文本框控件,则可能无法控制用户输入的字符串。用户输入的字符串可能会产生运行时错误,或者在最坏的情况下实际上会损害系统。使用参数时不可能这样做,因为参数仅被视为字段参数,而不是任意的 SQL 代码片段。
使用用户输入参数编写的相同查询是:
string sql = "SELECT Name, HeadOfState FROM Country WHERE Continent = @Continent";
笔记
该参数前面有一个“@”符号,表示它被视为一个参数。
除了标记参数在查询字符串中的位置外,还需要向
MySqlCommand对象添加参数。以下代码片段说明了这一点:
cmd.Parameters.AddWithValue("@Continent", "North America");在此示例中,字符串“North America”作为参数值静态提供,但在更实际的示例中,它将来自用户输入控件。
另一个例子说明了完整的过程:
using System;
using System.Data;
using MySql.Data;
using MySql.Data.MySqlClient;
public class Tutorial5
{
public static void Main()
{
string connStr = "server=localhost;user=root;database=world;port=3306;password=******";
MySqlConnection conn = new MySqlConnection(connStr);
try
{
Console.WriteLine("Connecting to MySQL...");
conn.Open();
string sql = "SELECT Name, HeadOfState FROM Country WHERE Continent=@Continent";
MySqlCommand cmd = new MySqlCommand(sql, conn);
Console.WriteLine("Enter a continent e.g. 'North America', 'Europe': ");
string user_input = Console.ReadLine();
cmd.Parameters.AddWithValue("@Continent", user_input);
MySqlDataReader rdr = cmd.ExecuteReader();
while (rdr.Read())
{
Console.WriteLine(rdr["Name"]+" --- "+rdr["HeadOfState"]);
}
rdr.Close();
}
catch (Exception ex)
{
Console.WriteLine(ex.ToString());
}
conn.Close();
Console.WriteLine("Done.");
}
}在本教程的这一部分中,您了解了如何使用参数来使您的代码更安全。