MySqlParameter_防注入参数配置

原创 已于 2024-12-03 13:39:03 修改 · 1.8k 阅读 · 2 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#数据库 #sql #c#

于 2022-12-27 19:46:49 首次发布
本文详细介绍了在C#中使用MySqlParameter进行数据库操作时如何防止SQL注入,包括MySqlParameter的构造函数、参数传入方式以及ParameterDirection参数方向的使用。通过示例展示了Input、Output、InputOutput和ReturnValue四种模式的配置与应用,强调了在MySQL存储过程中的注意事项。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

目录

一、前提准备

二、MySqlParameter 构造函数使用

三、MySqlParameter 参数传入

四、ParameterDirection 参数方向的使用

1、 ParameterDirection.Input输入模式

2、 ParameterDirection.Output输出模式

3、 ParameterDirection.InputOutput输入和输出模式

4、 ParameterDirection.ReturnValue返回模式

涉及知识点:MySqlParamete -- MySQL的存储过程 -- MySQL的function

一、前提准备

1、配置App.config文件  -- 若文件未找到,则 Ctrl+Shift+A --> 添加 " 应用程序配置文件 " 

	<connectionStrings>
		<add name="connStr"
		     connectionString="server=localhost;database=mysql_student;uid=root;pwd=123456"
			 providerName="MySql.Data.MySqlClient"/>
	</connectionStrings>

2、导入Nuget包 

3、引入using

using MySql.Data.MySqlClient;
using System;
using System.Configuration;
using System.Data;

4、创建MySQL 数据表 

create table tb_student_information
(
    id int,
    name varchar(10),
    no int
);
insert into tb_student_information
values (1,'小白',20),
       (2,'小红',30),
       (3,'小兰',35);

二、MySqlParameter 构造函数使用

需要配置的参数:

MySqlParameter.ParameterName = "@Name"  ; //参数名称

MySqlParameter.Value = "小白";        //参数值 

MySqlParameter.MySqlDbTyoe = MySqlDbType.VarChar;        //参数类型

MySqlParameter.Size = 10;  //参数占10个字节 

MySqlParameter.Direction = ParameterDirection.Input; //默认输入状态

以下是MySqlParameter的五种构造方法:

    internal class Program
    {
        static void Main(string[] args)
        {
            //param1.Direction 默认输入模式
            //1.不带参数
            MySqlParameter param1 = new MySqlParameter();
            param1.ParameterName = "@Name";  //参数名称
            param1.Value = "小白";    //参数的值
            param1.MySqlDbType = MySqlDbType.VarChar;  //参数类型
            param1.Size = 10; //10个字节
            param1.Direction = System.Data.ParameterDirection.ReturnValue;
            //2.参数 值
            MySqlParameter param2 = new MySqlParameter("@Name", "小白");
            param2.MySqlDbType = MySqlDbType.VarChar;
            param2.Size = 10;
            //3.参数 类型
            MySqlParameter param3 = new MySqlParameter("@Name", MySqlDbType.VarChar);
            param3.Value = "小白";
            param3.Size = 10;
            //4.参数 类型 大小
            MySqlParameter param4 = new MySqlParameter("@Name", MySqlDbType.VarChar, 10);
            param4.Value = "小白";
            //5.参数 类型 大小 源列名(对应DataTable中的列名)
            MySqlParameter param5 = new MySqlParameter("@Name", MySqlDbType.VarChar, 10, "UName");

            Console.WriteLine("Hello World!");
        }
    }

三、MySqlParameter 参数传入

cmd.Parameters.Add();//添加单个

cmd.Parameters.AddWithValue(); //添加单个(推荐)

cmd.Parameters.AddRange(); //添加多个

以下是参数添加的4中方法:

 internal class Program
    {
        static void Main(string[] args)
        {
            //获取外部文件字符串
            string connStr = ConfigurationManager.ConnectionStrings["connStr"].ConnectionString;

            string sql = "select * from tb_student_information where name = @name";
            using (MySqlConnection connect = new MySqlConnection(connStr))
            {
                MySqlCommand cmd = new MySqlCommand(sql, connect);
                //1.普通传参数(单个)
                MySqlParameter param = new MySqlParameter("@name", "小白");
                cmd.Parameters.Add(param);
                //2.普通传参数(单个)
                cmd.Parameters.Add(new MySqlParameter("@name", "小白"));
                //3.快捷传参数(单个)(推荐)
                cmd.Parameters.AddWithValue("@name", "小白");
                //4.多个参数传入
                MySqlParameter[] parames = {
                    new MySqlParameter("@name","小白")
                };
                cmd.Parameters.AddRange(parames);
            }
            Console.WriteLine("Hello World!");
        }
    }

四、ParameterDirection 参数方向的使用

参数:

ParameterDirection.Input     -- 是默认的模式,应用于任何场合

ParameterDirection.Output  -- 应用于数据的"存储过程",  --- 获取输出的值

ParameterDirection. InputOutput  -- 应用于数据的"存储过程",   --- 值可以输入也可输出

ParameterDirection.ReturnValue -- 在SQL Sever 的"存储过程可用",但MySQL的"存储过程"不可以,只可以使用MySQL的function, ---- 获取返回值

应用“存储过程”时,需额外配置:

        cmd.CommandType = CommandType.StoredProcedure; //命令类型:存储过程

        param.Direction = ParameterDirection.InputOutput;    //参数方向

1、 ParameterDirection.Input输入模式

修改前数据库数据:

  C#对MySQL的操作: -- C#代码

internal class Program
    {
        static void Main(string[] args)
        {
            //获取外部文件字符串
            string connStr = ConfigurationManager.ConnectionStrings["connStr"].ConnectionString;

            string sql = "select * from tb_student_information where name = @name";

            using (MySqlConnection connect = new MySqlConnection(connStr))
            {
                MySqlCommand cmd = new MySqlCommand(sql, connect);

                MySqlParameter param = new MySqlParameter("@name", MySqlDbType.VarChar, 10);
                param.Value = "小白";
                param.Direction = ParameterDirection.Input;  //参数方向传入

                cmd.Parameters.Add(param);

                connect.Open();
                object obj = cmd.ExecuteScalar();
                connect.Close();

                Console.WriteLine(obj.ToString());
            }
            Console.WriteLine("Hello World!");
        }
    }

 结果: 

2、 ParameterDirection.Output输出模式

修改前数据库数据:

 MySQL数据库中的数据过程配置:  -- MySQL 代码

delimiter $$
create procedure GetName(id int, out name varchar(10))
begin
    select tb_student_information.name into name
    from tb_student_information
    where tb_student_information.id = id;
end $$

 C#对MySQL的操作: -- C#代码

 internal class Program
    {
        static void Main(string[] args)
        {
            //获取外部文件字符串
            string connStr = ConfigurationManager.ConnectionStrings["connStr"].ConnectionString;

            using (MySqlConnection connect = new MySqlConnection(connStr))
            {
                MySqlCommand cmd = new MySqlCommand("GetName", connect);
                cmd.CommandType = CommandType.StoredProcedure; //命令类型:存储过程

                cmd.Parameters.AddWithValue("id", 2);

                MySqlParameter param = new MySqlParameter("name", MySqlDbType.VarChar, 10);
                param.Direction = ParameterDirection.Output; //参数方向:输出

                cmd.Parameters.Add(param);

                connect.Open();
                cmd.ExecuteScalar();
                connect.Close();

                Console.WriteLine(param.Value.ToString());
            }
            Console.WriteLine("Hello World!");
        }
    }

结果显示:

3、 ParameterDirection.InputOutput输入和输出模式

修改前数据库数据:

 MySQL数据库中的数据过程配置:  -- MySQL 代码

delimiter $$
create procedure GetName1(id int,inout name varchar(10))
begin
    declare sname varchar(10) default 'no';
    select tb_student_information.name into sname
    from tb_student_information
    where tb_student_information.id = id;
    set name = concat(sname,name);  #拼接字符串
end $$

 C#对MySQL的操作: -- C#代码

    internal class Program
    {
        static void Main(string[] args)
        {
            //获取外部文件字符串
            string connStr = ConfigurationManager.ConnectionStrings["connStr"].ConnectionString;

            using (MySqlConnection connect = new MySqlConnection(connStr))
            {
                MySqlCommand cmd = new MySqlCommand("GetName1", connect);
                cmd.CommandType = CommandType.StoredProcedure; //命令类型:存储过程

                cmd.Parameters.AddWithValue("id", 2);

                MySqlParameter param = new MySqlParameter("name", MySqlDbType.VarChar, 10);
                param.Value = "同学";
                param.Direction = ParameterDirection.InputOutput;

                cmd.Parameters.Add(param);

                connect.Open();
                cmd.ExecuteScalar();
                connect.Close();

                Console.WriteLine(param.Value.ToString());
            }
            Console.WriteLine("Hello World!");
        }
    }

结果显示:

4、 ParameterDirection.ReturnValue返回模式

注要事项: 

        1、SQL sever 的"存储过程" 只可以返回int类型 
        2、MySQL 的"存储过程",没有return,只能用function, 但他可以获取所有类型                      3、(第一次使用function可能会出现)这里创建函数时可能会遇到错误:ERROR 1418 (HY000): This function has none of DETERMINISTIC, NO SQL, or READS SQL DATA in its declaration and binary logging is enabled(you* might* want to use the less safe log_bin_trust_function_creators variable)

          解决方式: set global log_bin_trust_function_creators=TRUE;

 修改前数据库数据:

 MySQL数据库中的数据过程配置:  -- MySQL 代码

create function returnId( sid int) returns varchar(10)
begin
declare sname varchar(10);
select tb.name into sname
from tb_student_information as tb
where tb.id = sid;
return sname;
end $$

 C#对MySQL的操作: -- C#代码

    internal class Program
    {
        static void Main(string[] args)
        {
            //获取外部文件字符串
            string connStr = ConfigurationManager.ConnectionStrings["connStr"].ConnectionString;

            using (MySqlConnection connect = new MySqlConnection(connStr))
            {
                MySqlCommand cmd = new MySqlCommand("returnId", connect);
                cmd.CommandType = CommandType.StoredProcedure; //命令类型:存储过程

                MySqlParameter[] parames = {
                    new MySqlParameter("sid",1),
                    new MySqlParameter("sname",MySqlDbType.VarChar,10)
                };
                parames[1].Direction = ParameterDirection.ReturnValue; //参数方向:返回值

                cmd.Parameters.AddRange(parames);

                connect.Open();
                cmd.ExecuteScalar();
                connect.Close();

                Console.WriteLine(parames[1].Value.ToString());
            }
            Console.WriteLine("Hello World!");
        }
    }

结果显示:

如有错误,烦请批评指正

C#SqlParameter参数写法
04-17
C#SqlParameter参数写法C#SqlParameter参数写法C#SqlParameter参数写法C#SqlParameter参数写法C#SqlParameter参数写法C#SqlParameter参数写法
C#连接Mysql封装类操作
04-13
6. **参数化查询**:使用`MySqlCommand`的`Parameters`集合,避免SQL注入攻击。 以下是一个简单的封装类`CMySql`示例: ```csharp public class CMySql { private MySqlConnection connection; public CMySql...
mysql学习笔记(一)之mysqlparameter
热门推荐
luquansen的专栏
02-23 2万+
mysql学习笔记(一)之mysqlparameter 在.net中操作数据库的时候。 大家都喜欢用sqlparameter。 parameter是预编译的,可以加快速度,也可以防注入。 在使用mssql的时候用sqlparameter。 在使用mysql的时候使用mysqlparameters。 第一次使用mysql的时候,都经常犯一个错误 比如在使用mssql的时候,
mysql学习笔记之mysqlparameter(摘)
weixin_33850015的博客
05-08 349
在.net中操作数据库的时候。 大家都喜欢用sqlparameter。 parameter是预编译的,可以加快速度,也可以防注入。 在使用mssql的时候用sqlparameter。 在使用mysql的时候使用mysqlparameters。 第一次使用mysql的时候,都经常犯一个错误 比如在使用mssql的时候,一条查询这么写   Code select name,id fr...
MySqlParameter
weixin_30879169的博客
10-15 481
MySqlHelper // 执行带参数的SQL增删改语句 /// SQL增删改语句 /// 参数集合 /// 返回更新的记录数 public int ExecuteNonQuery(string sql, params MySqlParameter[] args) { ...
MySqlMySqlParameter的用法
万里归来少年心
09-29 2万+
c#中,向表person插入一条数据(表person包括两列:id和name),使用MySqlParameter定义表中各列的值。 static void Main(string[] args) { string connectionString = "Server='localhost';Database='test';UId='root';Password='1...
SqlParameter 之 in
dibeichan3033的博客
12-01 658
List<string> ConditionList = new List<string>(); List<string> tempParameters = new List<string>();//用来存(@a0,@a1,@a2) string value = HttpContext.Cur...
C# mysql数据库操作封装类
09-05
5. **参数化查询**:为了防止SQL注入,封装类应支持参数化查询,通过`MySqlParameter`类添加参数。 在`调用示例.txt`文件中,可能包含如何使用`MySqlClientHelper`类进行数据库操作的代码片段。例如: ```csharp ...
Mysql.Data 各类版本
07-22
- 使用`MySqlParameter`对象添加参数,避免直接拼接SQL,降低SQL注入风险。 8. **异步操作**: - 新版本的Mysql.Data支持异步API,如`ExecuteNonQueryAsync()`, `ExecuteReaderAsync()`,允许非阻塞操作,提升...
C#实现操作MySql数据层类MysqlHelper实例
09-03
为了增强健壮性和安全性,还可以考虑添加异常处理和参数验证的代码,以及使用参数化查询来防止SQL注入攻击。 总之,`C#`实现的`MysqlHelper`类提供了一种高效且简洁的方式来操作MySQL数据库,它将数据库操作的常用...
基于C# mysql查询两个日期之间的信息
最新发布
04-28
可能的问题点包括:日期参数的格式化、SQL注入的防范、以及如何处理不同的日期时间格式。因此,应该使用参数化查询,这不仅安全,还能正确处理日期格式。例如,在C#中使用MySqlParameter来传递日期参数,确保MySQL能...
c# mysql mysqlparameter,C# MySQL 参数化查询方式
weixin_39719165的博客
04-01 591
C# MySQL 参数化查询方式发布时间:2020-04-17 21:09作者:独孤剑阅读:396C# MySQL 参数化查询方式using System;using MySql.Data.MySqlClient;namespace MySqlDemo{class Program{static void Main(string[] args){string connectionString = "...
使用MySqlParameter拼接sql语句在like中替换
September_UYang的博客
10-20 673
为了防止sql注入,使用了MySqlParameter进行sql语句拼接,这是其中一段拼接语句,在link语句时出现了问题 sb.Append($" AND a.LoginName LIKE ’%@loginName%'"); param.Add(new MySqlParameter("@loginName", loginName)); 它执行的sql是这样的: AND a.LoginName LIKE '%@loginName%' @loginName并未被替换,所以模糊查询会去匹配@logi
mysql.exe 参数,MySqlParameter 参数问题
weixin_33746819的博客
03-17 418
C#链接MYSQL 查询数据时,链接字符串需要加CharSet=gb2312,否则执行带参数的语句时返回null。static string connectionStr = "server=localhost;port=3306;CharSet=gb2312;user=xxx;password=xxx;database=xxx";string sql = "select * from users ...
c#学习(五)--c#调用mysql函数(MySqlParameter返回参数参数使用)
ChenJin_2的博客
04-26 737
c#学习(五)--c#调用mysql函数(MySqlParameter返回参数参数使用)
SqlParameter in (@ids)
stoco的专栏
08-30 2843
直接传入在将 varchar 值 '1,2,3,4,5,6,7,8' 转换成数据类型 int 时失败。 SqlParameter会在编译时加上''变成varchar,使用charindex解决。 WHERE charindex(rtrim(字段名), @ids)&gt;0; 注:按以上方案会出现ids=17的时候,会出现id=1,id=7,id=17的都...
mysql学习笔记(一) mysqlparameter
qq_35545768的博客
03-15 2393
在.net中操作数据库的时候。 大家都喜欢用sqlparameter。 parameter是预编译的,可以加快速度,也可以防注入。 在使用mssql的时候用sqlparameter。 在使用MySQL的时候使用mysqlparameters。 第一次使用mysql的时候,都经常犯一个错误 比如在使用mssql的时候,一条查询这么写 [sql] vi
c# mysql mysqlparameter,C# mysql 带参数语句
weixin_42676876的博客
03-18 860
带参数语句通常用于批量操作,例如批量插入。截取一小段代码,修改后做一个简单的示例:1. 表结构:CREATE TABLE `数据` (`createtime` datetime NOT NULL,`dt` datetime NOT NULL,`val` float(7,2) DEFAULT NULL,PRIMARY KEY (`createtime`,`dt`)) ENGINE=MyISAM DE...
为什么new MySqlParameter("@val", 0).Value == null?
weixin_34019144的博客
03-26 304
前阵子同事写代码时发现MySQL数据表中经常被神奇的插入了空值,跟踪了半天代码,终于发现了问题所在: DbParameter p = new MySqlParameter("@val", 0); Debug.Assert(p.Value == 0);  // 这里断言失败,p.Value实际是null  分析了半天,没找到原因。猜想是MySql.Data把0当作null来处理了。心想,这不应该...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值