C#操作Mysql数据库的存储过程

时间:2022-09-20 18:23:02

近期在工作中接触了一套游戏服务端的代码,它是用C#写的逻辑,其中发现在客户端登陆的时候,服务端中处理登陆验证的模块没有先对账户名的合法性进行验证,而且还直接用sql语句拼接账户名的方法去查询数据库,很明显者存在一个SQL注入漏洞,为此我对写这代码的同胞鄙视了一番。鄙视归鄙视,作为一个5好青年,当然不会让这个洞存在下去。于是,我想了一会,觉得先要对接收到的账户名做合法性验证,然后sql语句要改成存储过程。想法有了,马上动手,合法验证倒是一会儿解决了,但是之前没接触过C#操作数据库,存储过程这里就要查资料了,发现好多资料都是操作sqlserver的,而我要的是mysql。最后,功夫不负有心人,在我东平西凑下,终于完成了我需要的功能。特此写博于此,记录一下C#操作MySql存储过程的方法。:)

环境

Mysql: 6.0.11-alpha-community MySQL Community Server (GPL)
系统:Win7 64bit 专业版
C#:.Net Framework 3.5

C#代码

using System;
using System.Collections.Generic;
using System.Linq;
using System.Text;
using MySql.Data.MySqlClient;

namespace TestMysql2
{
class Program
{
static void Main(string[] args)
{
MySqlConnection conn = new MySqlConnection("Database=test;Data Source=localhost;User Id='test';Password='test';pooling=true;Minimum Pool Size=5;Maximum Pool Size=10;CharSet=utf8;port=3306;Connect Timeout=3600");
conn.Open();

MySqlCommand cmd = new MySqlCommand("JugePasswordCorrect", conn);
cmd.CommandType = System.Data.CommandType.StoredProcedure;
cmd.Parameters.Add("?username", MySqlDbType.VarChar, 64);
cmd.Parameters["?username"].Value = "test";
cmd.Parameters.Add("?pwd", MySqlDbType.VarChar, 32);
cmd.Parameters["?pwd"].Value = "test";
int rows = Convert.ToInt32(cmd.ExecuteScalar());
if (rows > 0)
{
// 密码正确
}
conn.Close();
}
}
}

MySql过程

CREATE PROCEDURE JugePasswordCorrect(in username VARCHAR(64), in pwd VARCHAR(32))
BEGIN
SELECT COUNT(*) FROM acctable WHERE account=username AND password=pwd;

END;