Command.Parameters.Add()는 더 이상 사용되지 않습니다: MySQL 쿼리 삽입에서 AddWithValue() 사용
Command.Parameters.Add 사용법 () MySQL 쿼리에서는 보안상의 이유로 더 이상 사용되지 않습니다. 쿼리 삽입 안전을 보장하려면 대신 AddWithValue() 메서드를 사용하는 것이 좋습니다.
AddWithValue()를 사용하도록 코드를 업데이트하는 방법은 다음과 같습니다.
string SQL = "INSERT INTO `twMCUserDB` (`mc_userName`, `mc_userPass`, `tw_userName`, `tw_userPass`) VALUES (@mcUserName, @mcUserPass, @twUserName, @twUserPass)";
command.CommandText = SQL;
command.Parameters.AddWithValue("@mcUserName", mcUserNameNew);
command.Parameters.AddWithValue("@mcUserPass", mcUserPassNew);
command.Parameters.AddWithValue("@twUserName", twUserNameNew);
command.Parameters.AddWithValue("@twUserPass", twUserPassNew);AddWithValue() 사용 를 사용하면 쿼리에 특수 문자나 악의적인 SQL 명령이 포함될 위험을 제거하여 SQL 삽입 공격을 방지할 수 있습니다.
래핑된 원본 SQL 쿼리 작은 따옴표로 묶인 자리 표시자 역시 보안 취약점이었습니다. MySQL에서 SQL 쿼리의 올바른 형식은 필드 및 테이블 이름에 작은따옴표 대신 백틱(`)을 사용하는 것입니다. 따라서 업데이트된 SQL 쿼리는 다음과 같아야 합니다.
string SQL = "INSERT INTO `twMCUserDB` (`mc_userName`, `mc_userPass`, `tw_userName`, `tw_userPass`) VALUES (@mcUserName, @mcUserPass, @twUserName, @twUserPass)";
위 내용은 MySQL에서 SQL 주입을 방지하기 위해 `Add()`보다 `AddWithValue()`가 선호되는 이유는 무엇입니까?의 상세 내용입니다. 자세한 내용은 PHP 중국어 웹사이트의 기타 관련 기사를 참조하세요!
![[웹 프런트엔드] Node.js 빠른 시작](https://img.php.cn/upload/course/000/000/067/662b5d34ba7c0227.png)
