查询长度未知时如何向查询添加参数
How to add parameters to a query when query is unknown length
我正在做一个需要将多行添加到 MySQL table 的项目,由于连接的高延迟,我试图将所有值添加到一个节省时间的命令。
到目前为止,我有一个由字符串数组确定的 SQL 查询(每个字符串都是一个 "token"),这是通过一个 foreach 循环完成的,它在插入查询,但是,这种方法很难防止 SQL 注入,因为我找不到向命令添加参数的方法。我不熟悉其他预防注射的方法,但愿意接受新想法。
query = "INSERT INTO tokenlist(token, user_id) VALUES";
foreach (string tok in tokens)
{
query += " ('" + tok + "', " + logedinId + "),";
}
if (query != "INSERT INTO tokenlist(token, user_id) VALUES")
{
query = query.Remove(query.Length - 1);
query += ";";
if (OpenConnection() == true) {
MySqlCommand cmd = new MySqlCommand(query, mysqlcon);
cmd.ExecuteNonQuery();
CloseConnection();
}
}
var sql = "INSERT INTO tokenlist(token, user_id) VALUES(@token, @user_id)";
using var cmd = new MySqlCommand(sql, con);
cmd.Parameters.AddWithValue("@token", "tkn");
cmd.Parameters.AddWithValue("@user_id", 3);
cmd.Prepare();
cmd.ExecuteNonQuery();
尝试像这样添加参数。 + 你将避免 sql 注入
使用SqlCommand.Parameters.Add。
不要使用 foreach,而是使用 for,并添加带有附加数字 "@tok" + i
的参数名称
只是示例代码草稿,我没有尝试:
var tokens = new List<dynamic>() { new { tok = 1, logedinId = 2 }, new { tok = 1, logedinId = 2 } };
var query = "INSERT INTO tokenlist(token, user_id) VALUES";
SqlCommand cmd = new SqlCommand(query, new SqlConnection());
for (int i = 0; i < tokens.Count; i++)
{
var tokName = $"@tok{i}";
var logedinIdName = $"@logedinId{i}";
var token = tokens[i];
query += $" ({tokName}, {logedinIdName}),";
cmd.Parameters.Add(new SqlParameter(tokName, SqlDbType.Int)).Value = token.tok;
cmd.Parameters.Add(new SqlParameter(logedinIdName, SqlDbType.Int)).Value = token.logedinId;
}
if (tokens.Any())
{
query = query.Remove(query.Length - 1);
query += ";";
cmd.ExecuteNonQuery();
}
我正在做一个需要将多行添加到 MySQL table 的项目,由于连接的高延迟,我试图将所有值添加到一个节省时间的命令。
到目前为止,我有一个由字符串数组确定的 SQL 查询(每个字符串都是一个 "token"),这是通过一个 foreach 循环完成的,它在插入查询,但是,这种方法很难防止 SQL 注入,因为我找不到向命令添加参数的方法。我不熟悉其他预防注射的方法,但愿意接受新想法。
query = "INSERT INTO tokenlist(token, user_id) VALUES";
foreach (string tok in tokens)
{
query += " ('" + tok + "', " + logedinId + "),";
}
if (query != "INSERT INTO tokenlist(token, user_id) VALUES")
{
query = query.Remove(query.Length - 1);
query += ";";
if (OpenConnection() == true) {
MySqlCommand cmd = new MySqlCommand(query, mysqlcon);
cmd.ExecuteNonQuery();
CloseConnection();
}
}
var sql = "INSERT INTO tokenlist(token, user_id) VALUES(@token, @user_id)";
using var cmd = new MySqlCommand(sql, con);
cmd.Parameters.AddWithValue("@token", "tkn");
cmd.Parameters.AddWithValue("@user_id", 3);
cmd.Prepare();
cmd.ExecuteNonQuery();
尝试像这样添加参数。 + 你将避免 sql 注入
使用SqlCommand.Parameters.Add。
不要使用 foreach,而是使用 for,并添加带有附加数字 "@tok" + i
只是示例代码草稿,我没有尝试:
var tokens = new List<dynamic>() { new { tok = 1, logedinId = 2 }, new { tok = 1, logedinId = 2 } };
var query = "INSERT INTO tokenlist(token, user_id) VALUES";
SqlCommand cmd = new SqlCommand(query, new SqlConnection());
for (int i = 0; i < tokens.Count; i++)
{
var tokName = $"@tok{i}";
var logedinIdName = $"@logedinId{i}";
var token = tokens[i];
query += $" ({tokName}, {logedinIdName}),";
cmd.Parameters.Add(new SqlParameter(tokName, SqlDbType.Int)).Value = token.tok;
cmd.Parameters.Add(new SqlParameter(logedinIdName, SqlDbType.Int)).Value = token.logedinId;
}
if (tokens.Any())
{
query = query.Remove(query.Length - 1);
query += ";";
cmd.ExecuteNonQuery();
}