我的想法是通过一个C(3.5)winforms应用程序创建一些通用类来插入/更新/选择,并通过mysql.net connector 6.2.2与mysql数据库进行对话。
例如:
public void Insert(string strSQL)
{
if (this.OpenConnection() == true)
{
MySqlCommand cmd = new MySqlCommand(strSQL, connection);
cmd.ExecuteNonQuery();
this.CloseConnection();
}
}
然后,在程序的任何地方,我都可以通过传递一个SQL查询字符串来运行一个有/没有用户输入的查询。
在阅读So时,我开始指出这可能导致SQL注入攻击(对于任何用户输入值)。是否需要清除输入的strsql,或者需要在每个需要执行数据库函数的方法中创建单独的参数化查询?
更新1:
我的最终解决方案如下:
public void Insert(string strSQL,string[,] parameterValue)
{
if (this.OpenConnection() == true)
{
MySqlCommand cmd = new MySqlCommand(strSQL, connection);
for(int i =0;i< (parameterValue.Length / 2);i++)
{
cmd.Parameters.AddWithValue(parameterValue[i,0],parameterValue[i,1]);
}
cmd.ExecuteNonQuery();
this.CloseConnection();
}}