Mysql
 sql >> Database >  >> RDS >> Mysql

Errore di connessione MySQL che non ho mai visto

Perché stai ancora utilizzando il buggy ODBC per connetterti a MySql quando è presente un connettore ADO.NET ? Inoltre, qual è questa orribile concatenazione di stringhe quando si forma la query?:

OdbcCommand cmd = new OdbcCommand("INSERT INTO User (Email, FirstName, SecondName, DOB, Location, Aboutme, username, password) VALUES ('" + TextBox1.Text + "', '" + TextBox2.Text + "', '" + TextBox3.Text + "', '" + TextBox4.Text + "', '" + TextBox5.Text + "', '" + TextBox6.Text + "', '" + TextBox7.Text + "', '" + TextBox8.Text + "')", connection);

Non hai sentito parlare di SQL injection e query parametrizzate che permettono di evitarlo?

Tutto quello che posso dire è che se usi il + sign quando si scrive una query SQL è come prendere una pistola e sparare proprio al piede (o alla testa a seconda dello scenario, ma in tutti i casi stai sparando a te stesso, fondamentalmente un comportamento suicida).

Quindi, ecco il modo corretto di fare le cose:

using (var conn = new MySqlConnection("Server=localhost; Database=gymwebsite2; User=root; Password=commando;"))
{
    conn.Open();
    using (var tx = conn.BeginTransaction())
    {
        using (var cmd = conn.CreateCommand())
        {
            cmd.CommandText = "INSERT INTO User (Email, FirstName, SecondName, DOB, Location, Aboutme, username, password) VALUES (@Email, @FirstName, @SecondName, @DOB, @Location, @Aboutme, @username, @password)";
            cmd.Parameters.AddWithValue("@Email", TextBox1.Text);
            cmd.Parameters.AddWithValue("@FirstName", TextBox2.Text);
            cmd.Parameters.AddWithValue("@SecondName", TextBox3.Text);

            // TODO: might require a parsing if the column is of type date in SQL
            cmd.Parameters.AddWithValue("@DOB", TextBox4.Text);

            cmd.Parameters.AddWithValue("@Location", TextBox5.Text);
            cmd.Parameters.AddWithValue("@Aboutme", TextBox6.Text);
            cmd.Parameters.AddWithValue("@username", TextBox7.Text);
            cmd.Parameters.AddWithValue("@password", TextBox8.Text);
            cmd.ExecuteNonQuery();
        }

        using (var cmd = conn.CreateCommand())
        {
            cmd.CommandText = "select last_insert_id();";
            int id = Convert.ToInt32(cmd.ExecuteScalar());
            Label10.Text = Convert.ToString(id);
        }

        tx.Commit();
    }
}

Si prega inoltre di denominare quelle caselle di testo in modo appropriato. Il poveretto che manterrà questo codice potrebbe emettere urla di disperazione.