sql >> Database teknologi >  >> RDS >> Mysql

MySQL forbindelsesfejl, som jeg aldrig har set

Hvorfor bruger du stadig buggy ODBC til at oprette forbindelse til MySql, når der er en ADO.NET-stik ? Og hvad er denne forfærdelige strengsammenkædning, når du laver din forespørgsel?:

OdbcCommand cmd = new OdbcCommand("INSERT INTO User (Email, FirstName, SecondName, DOB, Location, Aboutme, username, password) VALUES ('" + TextBox1.Text + "', '" + TextBox2.Text + "', '" + TextBox3.Text + "', '" + TextBox4.Text + "', '" + TextBox5.Text + "', '" + TextBox6.Text + "', '" + TextBox7.Text + "', '" + TextBox8.Text + "')", connection);

Har du ikke hørt om SQL-injektion og parametriserede forespørgsler som gør det muligt at undgå det?

Alt jeg kan sige er, at hvis du bruger + tegn, når du skriver en SQL-forespørgsel, er det som at tage en pistol og skyde lige mod din fod (eller hovedet afhængigt af scenariet, men i alle tilfælde skyder du på dig selv, dybest set en selvmordsadfærd).

Så her er den rigtige måde at gøre tingene på:

using (var conn = new MySqlConnection("Server=localhost; Database=gymwebsite2; User=root; Password=commando;"))
{
    conn.Open();
    using (var tx = conn.BeginTransaction())
    {
        using (var cmd = conn.CreateCommand())
        {
            cmd.CommandText = "INSERT INTO User (Email, FirstName, SecondName, DOB, Location, Aboutme, username, password) VALUES (@Email, @FirstName, @SecondName, @DOB, @Location, @Aboutme, @username, @password)";
            cmd.Parameters.AddWithValue("@Email", TextBox1.Text);
            cmd.Parameters.AddWithValue("@FirstName", TextBox2.Text);
            cmd.Parameters.AddWithValue("@SecondName", TextBox3.Text);

            // TODO: might require a parsing if the column is of type date in SQL
            cmd.Parameters.AddWithValue("@DOB", TextBox4.Text);

            cmd.Parameters.AddWithValue("@Location", TextBox5.Text);
            cmd.Parameters.AddWithValue("@Aboutme", TextBox6.Text);
            cmd.Parameters.AddWithValue("@username", TextBox7.Text);
            cmd.Parameters.AddWithValue("@password", TextBox8.Text);
            cmd.ExecuteNonQuery();
        }

        using (var cmd = conn.CreateCommand())
        {
            cmd.CommandText = "select last_insert_id();";
            int id = Convert.ToInt32(cmd.ExecuteScalar());
            Label10.Text = Convert.ToString(id);
        }

        tx.Commit();
    }
}

Navngiv også disse tekstbokse korrekt. Den stakkels fyr, der skal vedligeholde denne kode, udsender måske skrig af fortvivlelse.




  1. Sådan installeres Apache Cassandra på Ubuntu 20.10/Ubuntu 20.04

  2. SQL Server bruger høj CPU, når der søges i nvarchar-strenge

  3. DAY() Eksempler i SQL Server (T-SQL)

  4. mySQL:Underforespørgsel til array?