C#操作Mysql数据库的存储过程

近期在工作中接触了一套游戏服务端的代码,它是用C#写的逻辑,其中发现在客户端登陆的时候,服务端中处理登陆验证的模块没有先对账户名的合法性进行验证,而且还直接用sql语句拼接账户名的方法去查询数据库,很明显者存在一个SQL注入漏洞,为此我对写这代码的同胞鄙视了一番。鄙视归鄙视,作为一个5好青年,当然不会让这个洞存在下去。于是,我想了一会,觉得先要对接收到的账户名做合法性验证,然后sql语句要改成存储过程。想法有了,马上动手,合法验证倒是一会儿解决了,但是之前没接触过C#操作数据库,存储过程这里就要查资料了,发现好多资料都是操作sqlserver的,而我要的是mysql。最后,功夫不负有心人,在我东平西凑下,终于完成了我需要的功能。特此写博于此,记录一下C#操作MySql存储过程的方法。:)

环境

Mysql: 6.0.11-alpha-community MySQL Community Server (GPL)
系统:Win7 64bit 专业版
C#:.Net Framework 3.5

C#代码

using System;
using System.Collections.Generic;
using System.Linq;
using System.Text;
using MySql.Data.MySqlClient;

namespace TestMysql2
{
    class Program
    {
        static void Main(string[] args)
        {
            MySqlConnection conn = new MySqlConnection("Database=test;Data Source=localhost;User Id='test';Password='test';pooling=true;Minimum Pool Size=5;Maximum Pool Size=10;CharSet=utf8;port=3306;Connect Timeout=3600");
            conn.Open();

            MySqlCommand cmd = new MySqlCommand("JugePasswordCorrect", conn);
            cmd.CommandType = System.Data.CommandType.StoredProcedure;
            cmd.Parameters.Add("?username", MySqlDbType.VarChar, 64);
            cmd.Parameters["?username"].Value = "test";
            cmd.Parameters.Add("?pwd", MySqlDbType.VarChar, 32);
            cmd.Parameters["?pwd"].Value = "test";
            int rows = Convert.ToInt32(cmd.ExecuteScalar());
            if (rows > 0)
            {
                // 密码正确
            }
            conn.Close();
        }
    }
}

MySql过程

CREATE PROCEDURE JugePasswordCorrect(in username VARCHAR(64), in pwd VARCHAR(32))
BEGIN
SELECT COUNT(*) FROM acctable WHERE account=username AND password=pwd;
END;
  • 1
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值