0

我创建了这个插入新记录的函数——我直接向它提交查询。我的问题 - 它是最优的吗?它是万无一失的并保证正常运行吗?如果不; 请指教。

static String Server = "";
static String Username = "";
static String Name = "";
static String password = "";

static String conString = "SERVER=" + Server + ";DATABASE=" + Name + ";UID=" + Username + ";PASSWORD=" + password + ";connect timeout=500000;Compress=true;";

public bool InsertSQL(String Query)
{
    int tmp = 0;
    try
    {
        using (MySqlConnection mycon = new MySqlConnection(conString))
        {
            using (MySqlCommand cmd = new MySqlCommand(Query, mycon))
            {
                mycon.Open();
                try
                {
                    tmp = cmd.ExecuteNonQuery();
                }
                catch
                {
                    if (mycon.State == ConnectionState.Open)
                    {
                        mycon.Close();
                    }
                }
                mycon.Close();
            }
        }
    }
    catch { return tmp > 0 == true ? true : false; }
    return tmp > 0 == true ? true : false;
}

这是我在其他函数中创建并作为文本传递给插入函数的 SQL 插入。我愿意接受所有建议!

String insertSql = @"INSERT INTO `gps_unit_location`
            (`idgps_unit`,`lat`,`long`,`ip`,`unique_id`,
            `loc_age`,`reason_code`,`speed_kmh`,
            `VehHdg`,`Odometer`,`event_time_gmt_unix`,`switches`, `engine_on_off`, `dt`)
                VALUES
            (
            (Select idgps_unit from gps_unit where serial=" + serial + "),'" + lat + "','" + lon + "','" + IP + "','" + unique_id + @"',
            '" + LocAge_mins + "','" + ReasonCode + "','" + Speed + @"',
            '" + VehHdg + "','" + Odometer + "','" + EventTime_GMTUnix + "','" + Switches + "', '" + engine_on_off + @"', DATE_ADD(NOW(), INTERVAL 1 HOUR))
            ";
4

2 回答 2

3

我以您的代码为例构建了这个答案。请注意以下行:

cmd.Parameters.AddWithValue("@queryParam", Query);

为潜在的 SQL 注入攻击编写代码始终是最佳实践,即使它们不太可能发生

static String Server = "";
static String Username = "";
static String Name = "";
static String password = "";

static String conString = "SERVER=" + Server + ";DATABASE=" + Name + ";UID=" + Username  + ";PASSWORD=" + password + ";connect timeout=500000;Compress=true;";

public bool InsertSQL(String Query)
{
   int tmp = 0;
   try
   {
      using (MySqlConnection mycon = new MySqlConnection(conString))
      {
         using (MySqlCommand cmd = new MySqlCommand(Query, mycon))
         {
            mycon.Open();
            try
            {
                cmd.Parameters.AddWithValue("@queryParam", Query);
                tmp = cmd.ExecuteNonQuery();
            }

            catch
            {
                if (mycon.State == ConnectionState.Open)
                {
                    mycon.Close();
                }
            }
            mycon.Close();
         }
     }
 }
 catch { return tmp > 0 == true ? true : false; }
 return tmp > 0 == true ? true : false;
}
于 2013-03-07T17:29:22.273 回答
2

通过使这个如此通用,您将自己对SQL 注入开放。我猜你必须直接构建查询并插入值。SQL 参数在这里会更好,您可能会传入 a paramsof SqlParameters,但这仍然依赖于发送的通用文本,并且仍然让您可以进行注入。

这是一个 SQL 参数示例

于 2013-03-07T17:03:21.393 回答