O que é passar parâmetros para o SQL e por que eu preciso disso?
Iniciante aqui:
Nissoresponda para minha pergunta de como inserir dados no SQL Server, ele mencionou a passagem de parâmetros em vez da concatenação de strings, como eu tenho atualmente.
Isso é realmente necessário para a segurança? Se sim, o que exatamente é a passagem de parâmetros? Quando eu pesquiso no Google, eu recebo muito sobre procedimentos armazenados. É isso que eu quero, eu não sei sobre procedimentos armazenados .... ainda.
Se você puder me apontar na direção certa, eu apreciaria isso.
Obrigado.
EDITAR:
Ok, aqui está o que eu tenho. Parece atualizar o banco de dados corretamente e, eventualmente, alterarei as entradas codificadas para entradas de um rótulo. Por favor, confirme se como eu fiz isso não é vulnerável a qualquer injeção de sql ou hacks.
using System;
using System.Collections.Generic;
using System.Linq;
using System.Web;
using System.Web.UI;
using System.Web.UI.WebControls;
using System.Web.Security;
using System.Data;
using System.Data.Sql;
using System.Data.SqlClient;
public partial class Stats : System.Web.UI.Page
{
public SqlDataReader DataReader;
public SqlCommand Command;
string queryString = ("INSERT INTO UserData (UserProfileID, ConfidenceLevel, LoveLevel, HappinessLevel) VALUES (@UID, @CL, @LL, @HL);");
//string queryString = ("INSERT INTO UserData (UserProfileID, ConfidenceLevel, LoveLevel, HappinessLevel) VALUES ('a051fc1b-4f51-485b-a07d-0f378528974e', 2, 2, 2);");
protected void Page_Load(object sender, EventArgs e)
{
LabelUserID.Text = Membership.GetUser().ProviderUserKey.ToString();
}
protected void Button1_Click(object sender, EventArgs e)
{
//connect to database
MySqlConnection database = new MySqlConnection();
database.CreateConn();
//create command object
Command = new SqlCommand(queryString, database.Connection);
//add parameters. used to prevent sql injection
Command.Parameters.Add("@UID", SqlDbType.UniqueIdentifier);
Command.Parameters["@UID"].Value = Membership.GetUser().ProviderUserKey;
Command.Parameters.Add("@CL", SqlDbType.Int);
Command.Parameters["@CL"].Value = 9;
Command.Parameters.Add("@LL", SqlDbType.Int);
Command.Parameters["@LL"].Value = 9;
Command.Parameters.Add("@HL", SqlDbType.Int);
Command.Parameters["@HL"].Value = 9;
Command.ExecuteNonQuery();
}
}