使用 C# 对 MySQL 进行参数化查询
在使用 SQL 查询时,强烈建议使用参数化查询。它们可以防止 SQL 注入攻击,并通过消除连接字符串值的需要来提高性能。
但是,当通过 C# 对 MySQL 使用参数化查询时,确保正确配置代码非常重要。添加第一个参数时可能出现的一个潜在错误是 IndexOutOfBoundsException。
问题:
在给定代码中:
private String readCommand = "SELECT LEVEL FROM USERS WHERE VAL_1 = ? AND VAL_@ = ?;";
问题在于查询字符串,它使用问号(?)作为参数的占位符。 MySQL 不识别问号作为参数占位符;它需要以“@”为前缀的命名参数。
解决方案:
要解决此问题,您需要修改查询字符串以使用命名参数并添加使用 AddWithValue() 方法向 MySqlCommand 对象传递参数:
private String readCommand = "SELECT LEVEL FROM USERS WHERE VAL_1 = @param_val_1 AND VAL_2 = @param_val_2;";
public bool read(string id)
{
level = -1;
MySqlCommand m = new MySqlCommand(readCommand);
m.Parameters.AddWithValue("@param_val_1", val1);
m.Parameters.AddWithValue("@param_val_2", val2);
level = Convert.ToInt32(m.ExecuteScalar());
return true;
}通过使用命名参数和 AddWithValue() 方法,查询将成功执行,不会遇到 IndexOutOfBoundsException。
以上是在 C# 中使用 MySQL 参数化查询时如何避免 IndexOutOfBoundsException?的详细内容。更多信息请关注PHP中文网其他相关文章!
