檢查用戶是否存在於MySQL數據庫中失敗

Question

不知道爲什麼下面的代碼給我一個例外。我試圖檢查一個用戶名是否存在於MySQL數據庫中，如果沒有，那麼我想創建一個用戶。如果我自己運行查詢，那麼它可以正常工作，但不能在一起。

int valid = -1;    

    using (MySqlConnection cnn = new MySqlConnection(conString)) 
     { 
      cnn.Open(); 

      bool usernameExists = false; 

      string sql1 = String.Format("SELECT Username FROM Users WHERE Username = \"{0}\"", username); 
      MySqlCommand cmd1 = new MySqlCommand(sql1, cnn); 

      usernameExists = (int)cmd1.ExecuteScalar() > 0; 

      if (!usernameExists) 
      { 
       string sql = String.Format("INSERT INTO Users(Username, Password) VALUES(\"{0}\", \"{1}\")", username, password); 
       MySqlCommand cmd = new MySqlCommand(sql, cnn); 

       valid = cmd.ExecuteNonQuery(); 
      } 
     } 
    return valid; 

Answer 1

我得到它的工作通過改變第一查詢：

MySqlCommand cmd1 = new MySqlCommand("SELECT Username FROM Users WHERE Username = @username LIMIT 1", cnn); 

到

MySqlCommand cmd1 = new MySqlCommand("SELECT COUNT(UserID) FROM Users WHERE Username = @username", cnn); 
int valid = int.Parse(cmd.ExecuteScalar().ToString()); 

感謝您的幫助。

Answer 2

首先，MySQL使用單引號。這意味着您的查詢將是：

string.format("SELECT Username FROM Users WHERE Username = '{0}' LIMIT 1", Username); 

但是，這是SQL注入非常脆弱。這裏有一個使用MySQL參數來防止它的代碼。

int valid = -1;    

using (MySqlConnection cnn = new MySqlConnection(conString)) 
    { 
     cnn.Open(); 

     bool usernameExists = false; 

     MySqlCommand cmd1 = new MySqlCommand("SELECT Username FROM Users WHERE Username = @username LIMIT 1", cnn); 
     cmd1.Parameters.AddWithValue("@username", username); 

     usernameExists = (int)cmd1.ExecuteScalar() > 0; 

     if (!usernameExists) 
     { 
      MySqlCommand cmd = new MySqlCommand("INSERT INTO Users(Username, Password) VALUES(@username, @password)", cnn); 
      cmd.Parameters.AddWithValue("@username", username); 
      cmd.Parameters.AddWithValue("@password", password); 

      valid = cmd.ExecuteNonQuery(); 
     } 
    } 
return valid; 

你能試試嗎？