Я делаю приложение формы Windows С# в Visual Studio 2010.
Это приложение подключается к базе данных mysql, и я хочу вставить в нее данные.
Теперь у меня есть эта часть кода:
MySqlConnection connection;
string cs = @"server=server ip;userid=username;password=userpass;database=databse";
connection = new MySqlConnection(cs);
connection.Open();
MySqlCommand command = new MySqlCommand();
string SQL = "INSERT INTO `twMCUserDB` (`mc_userName`, `mc_userPass`, `tw_userName`, `tw_userPass`) VALUES ('@mcUserName', '@mcUserPass', '@twUserName', '@twUserPass')";
command.CommandText = SQL;
command.Parameters.Add("@mcUserName", mcUserNameNew);
command.Parameters.Add("@mcUserPass", mcUserPassNew);
command.Parameters.Add("@twUserName", twUserNameNew);
command.Parameters.Add("@twUserPass", twUserPassNew);
command.Connection = connection;
command.ExecuteNonQuery();
connection.Close();
Связь в порядке. Это работает.
Я прочитал здесь, что путь что у меня есть сейчас, это способ сохранения запросов. Это все еще правильно?
А теперь собственно вопрос. С этим кодом выше я получаю следующее предупреждение в визуальной студии:
'MySql.Data.MySqlClient.MySqlParameterCollection.Add(string, object)' is obsolete: '"Add(String parameterName, Object value) has been deprecated. Use AddWithValue(String parameterName, Object value)"'
Это предупреждение для каждого параметра. добавить
И это даже не работает, потому что вставляются значения @mcUserName, @mcUserPass и так далее, а не значения, которые содержат переменные mcUserNameNew и так далее...
Итак, мой вопрос: я делаю что-то не так, и каков новый способ сохранения SQL-инъекций, выполняющий запрос?
AddWithValue
как предложено в предупреждении - person Habib   schedule 27.11.2012