MySqlParameter_防注入参数配置

已于 2022-12-30 17:14:07 修改
阅读量1.4k 收藏 2
点赞数 1
分类专栏: ADO.net 文章标签: 数据库 sql c#
于 2022-12-27 19:46:49 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/againknow/article/details/128437977
版权
本文详细介绍了在C#中使用MySqlParameter进行数据库操作时如何防止SQL注入,包括MySqlParameter的构造函数、参数传入方式以及ParameterDirection参数方向的使用。通过示例展示了Input、Output、InputOutput和ReturnValue四种模式的配置与应用,强调了在MySQL存储过程中的注意事项。
摘要由CSDN通过智能技术生成

目录

一、前提准备

二、MySqlParameter 构造函数使用

三、MySqlParameter 参数传入

四、ParameterDirection 参数方向的使用

1、 ParameterDirection.Input输入模式

2、 ParameterDirection.Output输出模式

3、 ParameterDirection.InputOutput输入和输出模式

4、 ParameterDirection.ReturnValue返回模式

涉及知识点:MySqlParamete -- MySQL的存储过程 -- MySQL的function

一、前提准备

1、配置App.config文件  -- 若文件未找到,则 Ctrl+Shift+A --> 添加 " 应用程序配置文件 " 

	<connectionStrings>
		<add name="connStr"
		     connectionString="server=localhost;database=mysql_student;uid=root;pwd=123456"
			 providerName="MySql.Data.MySqlClient"/>
	</connectionStrings>

2、导入Nuget包 

3、引入using

using MySql.Data.MySqlClient;
using System;
using System.Configuration;
using System.Data;

4、创建MySQL 数据表 

create table tb_student_information
(
    id int,
    name varchar(10),
    no int
);
insert into tb_student_information
values (1,'小白',20),
       (2,'小红',30),
       (3,'小兰',35);

二、MySqlParameter 构造函数使用

需要配置的参数:

MySqlParameter.ParameterName = "@Name"  ; //参数名称

MySqlParameter.Value = "小白";        //参数值 

MySqlParameter.MySqlDbTyoe = MySqlDbType.VarChar;        //参数类型

MySqlParameter.Size = 10;  //参数占10个字节 

MySqlParameter.Direction = ParameterDirection.Input; //默认输入状态

以下是MySqlParameter的五种构造方法:

    internal class Program
    {
        static void Main(string[] args)
        {
            //param1.Direction 默认输入模式
            //1.不带参数
            MySqlParameter param1 = new MySqlParameter();
            param1.ParameterName = "@Name";  //参数名称
            param1.Value = "小白";    //参数的值
            param1.MySqlDbType = MySqlDbType.VarChar;  //参数类型
            param1.Size = 10; //10个字节
            param1.Direction = System.Data.ParameterDirection.ReturnValue;
            //2.参数 值
            MySqlParameter param2 = new MySqlParameter("@Name", "小白");
            param2.MySqlDbType = MySqlDbType.VarChar;
            param2.Size = 10;
            //3.参数 类型
            MySqlParameter param3 = new MySqlParameter("@Name", MySqlDbType.VarChar);
            param3.Value = "小白";
            param3.Size = 10;
            //4.参数 类型 大小
            MySqlParameter param4 = new MySqlParameter("@Name", MySqlDbType.VarChar, 10);
            param4.Value = "小白";
            //5.参数 类型 大小 源列名(对应DataTable中的列名)
            MySqlParameter param5 = new MySqlParameter("@Name", MySqlDbType.VarChar, 10, "UName");

            Console.WriteLine("Hello World!");
        }
    }
最低0.47元/天 解锁文章
**启程**
关注
专栏目录
C#使用预处理SQL语句访问MySQL的方法(Parameter)
学武止境
12-17 1576
[c-sharp] view plaincopyprint? MySqlConnection con = null;              MySqlCommand cmd = null;              string nameStr = "Sample value passed /”";              con = new MySqlConnection("
c# mysql mysqlparameter,C# mysql参数语句
weixin_42676876的博客
03-18 803
参数语句通常用于批量操作,例如批量插入。截取一小段代码,修改后做一个简单的示例:1. 表结构:CREATE TABLE `数据` (`createtime` datetime NOT NULL,`dt` datetime NOT NULL,`val` float(7,2) DEFAULT NULL,PRIMARY KEY (`createtime`,`dt`)) ENGINE=MyISAM DE...
mysql学习笔记(一)之mysqlparameter
热门推荐
luquansen的专栏
02-23 2万+
mysql学习笔记(一)之mysqlparameter 在.net中操作数据库的时候。 大家都喜欢用sqlparameterparameter是预编译的,可以加快速度,也可以注入。 在使用mssql的时候用sqlparameter。 在使用mysql的时候使用mysqlparameters。 第一次使用mysql的时候,都经常犯一个错误 比如在使用mssql的时候,
mysql学习笔记之mysqlparameter(摘)
weixin_33850015的博客
05-08 315
在.net中操作数据库的时候。 大家都喜欢用sqlparameterparameter是预编译的,可以加快速度,也可以注入。 在使用mssql的时候用sqlparameter。 在使用mysql的时候使用mysqlparameters。 第一次使用mysql的时候,都经常犯一个错误 比如在使用mssql的时候,一条查询这么写   Code select name,id fr...
MySqlParameter
weixin_30879169的博客
10-15 436
MySqlHelper // 执行带参数SQL增删改语句 /// SQL增删改语句 /// 参数集合 /// 返回更新的记录数 public int ExecuteNonQuery(string sql, params MySqlParameter[] args) { ...
SqlParameter 之 in
dibeichan3033的博客
12-01 597
List<string> ConditionList = new List<string>(); List<string> tempParameters = new List<string>();//用来存(@a0,@a1,@a2) string value = HttpContext.Cur...
C#连接Mysql封装类操作
04-13
6. **参数化查询**:使用`MySqlCommand`的`Parameters`集合,避免SQL注入攻击。 以下是一个简单的封装类`CMySql`示例: ```csharp public class CMySql { private MySqlConnection connection; public CMySql...
C# mysql数据库操作封装类
09-05
5. **参数化查询**:为了SQL注入,封装类应支持参数化查询,通过`MySqlParameter`类添加参数。 在`调用示例.txt`文件中,可能包含如何使用`MySqlClientHelper`类进行数据库操作的代码片段。例如: ```csharp ...
Mysql.Data 各类版本
07-22
- 使用`MySqlParameter`对象添加参数,避免直接拼接SQL,降低SQL注入风险。 8. **异步操作**: - 新版本的Mysql.Data支持异步API,如`ExecuteNonQueryAsync()`, `ExecuteReaderAsync()`,允许非阻塞操作,提升...
C#实现操作MySql数据层类MysqlHelper实例
09-03
为了增强健壮性和安全性,还可以考虑添加异常处理和参数验证的代码,以及使用参数化查询来SQL注入攻击。 总之,`C#`实现的`MysqlHelper`类提供了一种高效且简洁的方式来操作MySQL数据库,它将数据库操作的常用...
MySqlMySqlParameter的用法
万里归来少年心
09-29 1万+
c#中,向表person插入一条数据(表person包括两列:id和name),使用MySqlParameter定义表中各列的值。 static void Main(string[] args) { string connectionString = "Server='localhost';Database='test';UId='root';Password='1...
c# mysql mysqlparameter,C# MySQL 参数化查询方式
weixin_39719165的博客
04-01 542
C# MySQL 参数化查询方式发布时间:2020-04-17 21:09作者:独孤剑阅读:396C# MySQL 参数化查询方式using System;using MySql.Data.MySqlClient;namespace MySqlDemo{class Program{static void Main(string[] args){string connectionString = "...
使用MySqlParameter拼接sql语句在like中替换
September_UYang的博客
10-20 603
为了sql注入,使用了MySqlParameter进行sql语句拼接,这是其中一段拼接语句,在link语句时出现了问题 sb.Append($" AND a.LoginName LIKE ’%@loginName%'"); param.Add(new MySqlParameter("@loginName", loginName)); 它执行的sql是这样的: AND a.LoginName LIKE '%@loginName%' @loginName并未被替换,所以模糊查询会去匹配@logi
mysql.exe 参数,MySqlParameter 参数问题
weixin_33746819的博客
03-17 379
C#链接MYSQL 查询数据时,链接字符串需要加CharSet=gb2312,否则执行带参数的语句时返回null。static string connectionStr = "server=localhost;port=3306;CharSet=gb2312;user=xxx;password=xxx;database=xxx";string sql = "select * from users ...
c#学习(五)--c#调用mysql函数(MySqlParameter返回参数参数使用)
最新发布
ChenJin_2的博客
04-26 628
c#学习(五)--c#调用mysql函数(MySqlParameter返回参数参数使用)
SqlParameter in (@ids)
stoco的专栏
08-30 2742
直接传入在将 varchar 值 '1,2,3,4,5,6,7,8' 转换成数据类型 int 时失败。 SqlParameter会在编译时加上''变成varchar,使用charindex解决。 WHERE charindex(rtrim(字段名), @ids)&gt;0; 注:按以上方案会出现ids=17的时候,会出现id=1,id=7,id=17的都...
mysql学习笔记(一) mysqlparameter
qq_35545768的博客
03-15 2329
在.net中操作数据库的时候。 大家都喜欢用sqlparameterparameter是预编译的,可以加快速度,也可以注入。 在使用mssql的时候用sqlparameter。 在使用MySQL的时候使用mysqlparameters。 第一次使用mysql的时候,都经常犯一个错误 比如在使用mssql的时候,一条查询这么写 [sql] vi
为什么new MySqlParameter("@val", 0).Value == null?
weixin_34019144的博客
03-26 257
前阵子同事写代码时发现MySQL数据表中经常被神奇的插入了空值,跟踪了半天代码,终于发现了问题所在: DbParameter p = new MySqlParameter("@val", 0); Debug.Assert(p.Value == 0);  // 这里断言失败,p.Value实际是null  分析了半天,没找到原因。猜想是MySql.Data把0当作null来处理了。心想,这不应该...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值