如何解决过时的'MySqlCommand.Command.Parameters.Add”警告并防止 SQL 注入？-mysql教程-PHP中文网

如何解决过时的'MySqlCommand.Command.Parameters.Add”警告并防止 SQL 注入？

Barbara Streisand

发布： 2024-12-09 13:22:15

原创

387 人浏览过

How to Resolve the Obsolete `MySqlCommand.Command.Parameters.Add` Warning and Prevent SQL Injection?

MySqlCommand.Command.Parameters.Add 过时警告：转换为 AddWithValue

问题：

使用 MySqlCommand 将数据插入 MySQL 数据库时，您会收到一条警告，指示“MySqlCommand.Command.Parameters.Add 已过时”并且参数值未正确插入。如何解决此问题并确保 SQL 注入安全？

答案：

要解决警告并改进 SQL 注入预防，您应该从使用“添加”过渡到“AddWithValue”以向 MySqlCommand 添加参数。

已修改代码：

...
command.Parameters.AddWithValue("@mcUserName", mcUserNameNew);
command.Parameters.AddWithValue("@mcUserPass", mcUserPassNew);
command.Parameters.AddWithValue("@twUserName", twUserNameNew);
command.Parameters.AddWithValue("@twUserPass", twUserPassNew);
...

登录后复制

其他注意事项：

删除 SQL 语句中参数占位符周围的单引号：

string SQL = "INSERT INTO `twMCUserDB` (`mc_userName`, `mc_userPass`, `tw_userName`, `tw_userPass`) VALUES (@mcUserName, @mcUserPass, @twUserName, @twUserPass)";

登录后复制

以上是如何解决过时的'MySqlCommand.Command.Parameters.Add”警告并防止 SQL 注入？的详细内容。更多信息请关注PHP中文网其他相关文章！