那些遇到过的问题

C#用于数据创建的MySQL注入预防

Bri*_*n S 2 c# mysql

我正在运行一个C#函数来创建一个以用户输入命名的数据库.我想防止SQL注入.通常,我会使用参数,但参数仅适用于数据操作而不适用于数据创建.代码是:

using (var conn = new MySqlConnection(connStr))
{
    conn.Open();
    var comm = conn.CreateCommand();
    comm.CommandText = "CREATE DATABASE IF NOT EXISTS @name";
    comm.Parameters.AddWithValue("@name", id);
    comm.ExecuteNonQuery();
}
Run Code Online (Sandbox Code Playgroud)

由于参数不能用于创建数据库,因此对于防止注入进行消毒输入的最佳方法是什么?

谢谢!

fub*_*ubo 6

使用MySqlHelper.EscapeString(""),如果你不会/不能使用的参数.

如果您定义参数,那就是mySQL使用内部的东西.

所以你的命令应该是这样的

comm.CommandText = "CREATE DATABASE IF NOT EXISTS " + MySqlHelper.EscapeString(id);
Run Code Online (Sandbox Code Playgroud)

归档时间:

查看次数:

182 次

最近记录:

7 年,7 月 前
相关归档
如何在Visual Studio中设置条件断点? 128
mysql:查看给定数据库的所有打开连接? 117
获取子串 - 在某些char之前的所有内容 109
检测到实体框架自引用循环 100
我如何选择Semaphore和SemaphoreSlim? 98
获取一周的第一个星期一的日期? 59
在交换机中使用'转到'? 48
可以有私人扩展方法吗? 44
CultureInfo格式化字符串 39
查询时间结果在MySQL w/PHP中 13
难疑归档
撤消尚未推送的Git合并 3695
迭代HashMap 3244
仅存储使用Git更改的多个文件中的一个文件? 2895
夏令时和时区最佳实践 2021
使用JavaScript在新选项卡(而不是新窗口)中打开URL 1941
编译用于高放射性环境的应用程序 1414
match_parent和fill_parent有什么区别? 1371
使用jQuery作为JS对象向select中添加选项的最佳方法是什么? 1340
纯JavaScript相当于jQuery的$ .ready() - 如何在页面/ DOM准备就绪时调用函数 1244
将项目导入Eclipse后,"必须覆盖超类方法"错误 1223