MySqlCommand Command.Parameters.Add已过时

我在visual studio 2010中制作了一个C#windows Form Application。

该应用程序正在连接到mysql数据库,我想在其中插入数据。

我现在有这部分代码:

MySqlConnection connection; string cs = @"server=server ip;userid=username;password=userpass;database=databse"; connection = new MySqlConnection(cs); connection.Open(); MySqlCommand command = new MySqlCommand(); string SQL = "INSERT INTO `twMCUserDB` (`mc_userName`, `mc_userPass`, `tw_userName`, `tw_userPass`) VALUES ('@mcUserName', '@mcUserPass', '@twUserName', '@twUserPass')"; command.CommandText = SQL; command.Parameters.Add("@mcUserName", mcUserNameNew); command.Parameters.Add("@mcUserPass", mcUserPassNew); command.Parameters.Add("@twUserName", twUserNameNew); command.Parameters.Add("@twUserPass", twUserPassNew); command.Connection = connection; command.ExecuteNonQuery(); connection.Close(); 

连接很好。 这样可行。

我在这里强调,我现在拥有的方式是进行查询的保存方式。 这还不错吗?

而现在到了真正的问题。 使用上面的代码,我在visual studio中收到以下警告:

 'MySql.Data.MySqlClient.MySqlParameterCollection.Add(string, object)' is obsolete: '"Add(String parameterName, Object value) has been deprecated. Use AddWithValue(String parameterName, Object value)"' 

该警告适用于每个parameters.add

它甚至没有工作,因为插入的值是@mcUserName,@ mcUserPass等等,而不是变量mcUserNameNew等等所持有的值…

所以我的问题是,我做错了什么,以及sql注入的新方法保存查询?

尝试AddWithValue

 command.Parameters.AddWithValue("@mcUserName", mcUserNameNew); command.Parameters.AddWithValue("@mcUserPass", mcUserPassNew); command.Parameters.AddWithValue("@twUserName", twUserNameNew); command.Parameters.AddWithValue("@twUserPass", twUserPassNew); 

并且不要用单引号包装占位符。

 string SQL = "INSERT INTO `twMCUserDB` (`mc_userName`, `mc_userPass`, `tw_userName`, `tw_userPass`) VALUES (@mcUserName, @mcUserPass, @twUserName, @twUserPass)"; 

只需编辑/删除此部分中的一些代码即可

 ('@mcUserName', '@mcUserPass', '@twUserName', '@twUserPass') 

 (@mcUserName, @mcUserPass, @twUserName, @twUserPass) 

和Add(到AddWithValue(

请阅读本文,建议您不要使用AddWithValue

https://blogs.msmvps.com/jcoehoorn/blog/2014/05/12/can-we-stop-using-addwithvalue-already/

它基本上说AddWithValue有时可能错误地推断出正确的类型。 请改用Add

@mcUserName必须匹配查询中的mc_userName。

所以你的parm应该是@mc_userName

这是VB代码……

 cmd.Parameters.AddWithValue("@number", 1) 'set @number as numeric cmd.Parameters.AddWithValue("@text", "this will be a text variable") cmd.Parameters("@number").Value = 321 'now @number has a value cmd.Parameters("@text").Value = "A string value" 'now @text has a value cmd.ExecuteNonQuery()