查询长度未知时如何向查询添加参数

Question

我正在处理一个需要将多行添加到 MySQL 表的项目，由于连接的高延迟，我试图在一个命令中添加所有值以节省时间。

到目前为止，我有一个由字符串数组确定的 SQL 查询（每个字符串都是一个“令牌”），这是通过一个 foreach 循环完成的，该循环在插入查询上添加一个值，但是，这种方法由于我找不到在命令中添加参数的方法，因此很难防止 SQL 注入。我不熟悉其他预防注射的方法，但对新想法持开放态度。

query = "INSERT INTO tokenlist(token, user_id) VALUES";
foreach (string tok in tokens)
{
    query += " ('" + tok + "', " + logedinId + "),";
}

if (query != "INSERT INTO tokenlist(token, user_id) VALUES")
{
    query = query.Remove(query.Length - 1);
    query += ";";
    if (OpenConnection() == true) {
        MySqlCommand cmd = new MySqlCommand(query, mysqlcon);
        cmd.ExecuteNonQuery();
        CloseConnection();
    }
}

Answer 1

使用SqlCommand.Parameters.Add。
不要使用foreach，而是使用for，并添加带有附加编号"@tok" + i的参数名称

https://docs.microsoft.com/en-us/dotnet/api/system.data.sqlclient.sqlparametercollection.addwithvalue?view=netframework-4.8

只是示例草稿代码，我没有尝试过：

var tokens = new List<dynamic>() { new { tok = 1, logedinId = 2 }, new { tok = 1, logedinId = 2 } };
var query = "INSERT INTO tokenlist(token, user_id) VALUES";

SqlCommand cmd = new SqlCommand(query, new SqlConnection());

for (int i = 0; i < tokens.Count; i++)
{
    var tokName = $"@tok{i}";
    var logedinIdName = $"@logedinId{i}";
    var token = tokens[i];
    query += $" ({tokName}, {logedinIdName}),";
    cmd.Parameters.Add(new SqlParameter(tokName, SqlDbType.Int)).Value = token.tok;
    cmd.Parameters.Add(new SqlParameter(logedinIdName, SqlDbType.Int)).Value = token.logedinId;
}

if (tokens.Any())
{
    query = query.Remove(query.Length - 1);
    query += ";";

    cmd.ExecuteNonQuery();
}

Answer 2

var sql = "INSERT INTO tokenlist(token, user_id) VALUES(@token, @user_id)";
using var cmd = new MySqlCommand(sql, con);
cmd.Parameters.AddWithValue("@token", "tkn");
cmd.Parameters.AddWithValue("@user_id", 3);
cmd.Prepare();
cmd.ExecuteNonQuery();

尝试添加这样的参数。 + 你将避免 sql 注入