sql >> Databasteknik >  >> RDS >> Mysql

MySQL-anslutningsfel som jag aldrig har sett

Varför använder du fortfarande buggy ODBC för att ansluta till MySql när det finns en ADO.NET-kontakt a> ? Och vad är denna hemska strängsammansättning när du skapar din fråga?:

OdbcCommand cmd = new OdbcCommand("INSERT INTO User (Email, FirstName, SecondName, DOB, Location, Aboutme, username, password) VALUES ('" + TextBox1.Text + "', '" + TextBox2.Text + "', '" + TextBox3.Text + "', '" + TextBox4.Text + "', '" + TextBox5.Text + "', '" + TextBox6.Text + "', '" + TextBox7.Text + "', '" + TextBox8.Text + "')", connection);

Har du inte hört talas om SQL-injektion och parametriserade frågor som gör det möjligt att undvika det?

Allt jag kan säga är att om du använder + tecken när du skriver en SQL-fråga är det som att ta en pistol och skjuta rakt mot din fot (eller huvudet beroende på scenariot, men i alla fall skjuter du på dig själv, i princip ett självmordsbeteende).

Så här är det rätta sättet att göra saker på:

using (var conn = new MySqlConnection("Server=localhost; Database=gymwebsite2; User=root; Password=commando;"))
{
    conn.Open();
    using (var tx = conn.BeginTransaction())
    {
        using (var cmd = conn.CreateCommand())
        {
            cmd.CommandText = "INSERT INTO User (Email, FirstName, SecondName, DOB, Location, Aboutme, username, password) VALUES (@Email, @FirstName, @SecondName, @DOB, @Location, @Aboutme, @username, @password)";
            cmd.Parameters.AddWithValue("@Email", TextBox1.Text);
            cmd.Parameters.AddWithValue("@FirstName", TextBox2.Text);
            cmd.Parameters.AddWithValue("@SecondName", TextBox3.Text);

            // TODO: might require a parsing if the column is of type date in SQL
            cmd.Parameters.AddWithValue("@DOB", TextBox4.Text);

            cmd.Parameters.AddWithValue("@Location", TextBox5.Text);
            cmd.Parameters.AddWithValue("@Aboutme", TextBox6.Text);
            cmd.Parameters.AddWithValue("@username", TextBox7.Text);
            cmd.Parameters.AddWithValue("@password", TextBox8.Text);
            cmd.ExecuteNonQuery();
        }

        using (var cmd = conn.CreateCommand())
        {
            cmd.CommandText = "select last_insert_id();";
            int id = Convert.ToInt32(cmd.ExecuteScalar());
            Label10.Text = Convert.ToString(id);
        }

        tx.Commit();
    }
}

Namnge även textrutorna på lämpligt sätt. Den stackars killen som kommer att behålla den här koden kan utlösa skrik av förtvivlan.




  1. PHP asynkron mysql-fråga

  2. SQL Server 2017 Backup -1

  3. 10 tekniker för att skapa formulär i Microsoft Access

  4. importera redan skapad SQLite-databas (xamarin)