Question

我创建了这个插入新记录的函数 - 我直接向它提交查询。我的问题 - 它是最佳的吗？它是傻瓜证明，并保证正常运作？如果不;请指教。

static String Server = "";
static String Username = "";
static String Name = "";
static String password = "";

static String conString = "SERVER=" + Server + ";DATABASE=" + Name + ";UID=" + Username + ";PASSWORD=" + password + ";connect timeout=500000;Compress=true;";

public bool InsertSQL(String Query)
{
    int tmp = 0;
    try
    {
        using (MySqlConnection mycon = new MySqlConnection(conString))
        {
            using (MySqlCommand cmd = new MySqlCommand(Query, mycon))
            {
                mycon.Open();
                try
                {
                    tmp = cmd.ExecuteNonQuery();
                }
                catch
                {
                    if (mycon.State == ConnectionState.Open)
                    {
                        mycon.Close();
                    }
                }
                mycon.Close();
            }
        }
    }
    catch { return tmp > 0 == true ? true : false; }
    return tmp > 0 == true ? true : false;
}

这是我在其他函数中创建的SQL插入，并作为文本传递给插入函数。我对所有建议持开放态度！

String insertSql = @"INSERT INTO `gps_unit_location`
            (`idgps_unit`,`lat`,`long`,`ip`,`unique_id`,
            `loc_age`,`reason_code`,`speed_kmh`,
            `VehHdg`,`Odometer`,`event_time_gmt_unix`,`switches`, `engine_on_off`, `dt`)
                VALUES
            (
            (Select idgps_unit from gps_unit where serial=" + serial + "),'" + lat + "','" + lon + "','" + IP + "','" + unique_id + @"',
            '" + LocAge_mins + "','" + ReasonCode + "','" + Speed + @"',
            '" + VehHdg + "','" + Odometer + "','" + EventTime_GMTUnix + "','" + Switches + "', '" + engine_on_off + @"', DATE_ADD(NOW(), INTERVAL 1 HOUR))
            ";

Answer 1

我使用您的代码作为示例构建了此答案。请注意以下几行：

cmd.Parameters.AddWithValue("@queryParam", Query);

对于潜在的SQL注入攻击进行编码始终是最佳做法，即使它们不太可能发生。

static String Server = "";
static String Username = "";
static String Name = "";
static String password = "";

static String conString = "SERVER=" + Server + ";DATABASE=" + Name + ";UID=" + Username  + ";PASSWORD=" + password + ";connect timeout=500000;Compress=true;";

public bool InsertSQL(String Query)
{
   int tmp = 0;
   try
   {
      using (MySqlConnection mycon = new MySqlConnection(conString))
      {
         using (MySqlCommand cmd = new MySqlCommand(Query, mycon))
         {
            mycon.Open();
            try
            {
                cmd.Parameters.AddWithValue("@queryParam", Query);
                tmp = cmd.ExecuteNonQuery();
            }

            catch
            {
                if (mycon.State == ConnectionState.Open)
                {
                    mycon.Close();
                }
            }
            mycon.Close();
         }
     }
 }
 catch { return tmp > 0 == true ? true : false; }
 return tmp > 0 == true ? true : false;
}

Answer 2

通过使其如此通用，你可以让自己对SQL injection开放。我猜你必须构建查询并直接插入值。 SQL参数在这里会更好，你可能会传入params SqlParameters，但是这仍然依赖于发送的通用文本，但仍然可以让你注入。

Here is a SQL Parameter example

从C＃到MySQL执行INSERT语句的正确方法

2 个答案: