c# - 存储在数据库中的路径不正确

Question

private void button14_Click(object sender, EventArgs e)
        {
            if (openFileDialog1.ShowDialog() == System.Windows.Forms.DialogResult.OK)
            {
                    string c = openFileDialog1.FileName;

                    string connString = "Server=Localhost;Database=test;Uid=root;password=root;";
                    MySqlConnection conn = new MySqlConnection(connString);
                    MySqlCommand command = conn.CreateCommand();
                    command.CommandText = ("Insert into data (path) values('" + c + "')");
                    conn.Open();
                    command.ExecuteNonQuery();
                    conn.Close();
                    MessageBox.Show("Success");
                }
            }

这段代码对我有用，但不幸的是，存储在数据库中的路径不正确.. 存储的路径是这样的（C:Users hesisDesktopREDEFENSEResourcesImagesRED1f.png），它应该是这样的（C:P/Users/thesis/Desktop..../1f.png）。

但是当我用这段代码检查“sr”值时.. msgbox 显示得恰到好处..

private void button14_Click(object sender, EventArgs e)
{
    if (openFileDialog1.ShowDialog() == System.Windows.Forms.DialogResult.OK)
    {         
        MessageBox.Show(openFileDialog1.FileName);
    }
}

为什么会这样呢？

Answer 1

也许 MySQL 认为“\”字符是一个转义字符，所以这就是它不包含在字符串中的原因。尝试

c.Replace(@"\", @"\\")

插入时，转义字符将被转义。

编辑：例如，像这样替换命令文本初始化行。还为单引号添加转义。

string escapedPath = c.Replace(@"\", @"\\").Replace("'", @"\'");    
command.CommandText = ("Insert into data (path) values('" + escapedPath + "')");

编辑：使用参数化查询，请参阅@Matthew's answer以获得更多“最佳实践”解决方案。

Answer 2

这是由于您编写查询的方式。在 MySQL 中，反斜杠字符\（存在于文件路径中）具有特殊含义，即转义下一个字符。您需要对这些进行编码，许多不同的 DBMS 都有执行此操作的模式。

除此之外，您的代码容易受到SQL 注入的影响。

要解决这两个问题，您可以使用参数化查询。

public void InsertPath(string path)
{
    string connString = "Server=Localhost;Database=test;Uid=root;password=root;";

    using (var connection = new MySqlConnection(connString))
    {
        connection.Open();

        using (var command = connection.CreateCommand())
        {
            command.CommandText = "INSERT INTO data(path) VALUES(?path)";

            command.Parameters.AddWithValue("?path", path);

            command.ExecuteNonQuery();
        }
    }
}

这个答案可能不是 100% 准确，因为我的计算机上没有 MySQL，但希望如果它不起作用，它至少应该为您提供一些有关如何解决此问题的信息。

Answer 3

为什么不使用参数化查询？你可以避免转义字符串的大部分麻烦，防止一整类安全风险，如果你这样做的话，还可以从查询缓存中获得一点点性能。

通常，它看起来像这样：

cmd.CommandText = "INSERT INTO data (path) values(?path)";

cmd.Prepare();
cmd.Parameters.AddWithValue("?path", c);

自从我编写任何明确的 C# 查询代码（大约 6 个月左右）以来已经足够长了，我不记得这是否完全正确，而且我知道 MySql 提供程序对命名参数使用与 MSSQL 略有不同的参数化约定（它使用@path 而不是 ?path)，但这应该会让你走上正确的道路。有关可能与您相关的更多指导，请参阅C# MySqlParameter 问题。