與MySQL INSERT語句中使用變量

Question

我試圖插入一些數據我的MySQL數據庫，並已成功的連接並提交的數據，但我的變量保存爲變量的實際名稱，而不是我想要的價值分配。 我收集登錄使用的身份我的ASP系統的用戶，併爲我的主頁上收集的得分從一些單選按鈕列表中的用戶。

我試着用一個ID爲12345的用戶的ID保存得分，例如分數爲4，它將保存單詞Id和單詞分數而不是數字。

這裏是我當前的代碼：

if (score != 0) ; 
    { 
     string Id = User.Identity.GetUserId(); 
     string MyConString = "SERVER=localhost;" + 
     "DATABASE=synther_physics;" + 
     "UID=root;" + 
     "PASSWORD=rootpass;"; 
     MySqlConnection connection = new MySqlConnection(MyConString); 
     MySqlCommand command = connection.CreateCommand(); 
     MySqlDataReader Reader; 
     command.CommandText = "INSERT INTO userscores (Id, momentsandenergytestscore) VALUES ('Id','score');"; 

     connection.Open(); 
     Reader = command.ExecuteReader(); 
     connection.Close(); 


    } 

Answer 1

第一件事就是直接在聲明中放置變量是一個禁忌，導致所謂的SQL注入很好的問題。 爲了避免這種情況，我們要改變你的命令來使用參數，將與變量填充後

command.CommandText = "INSERT INTO userscores (Id, momentsandenergytestscore) VALUES (@Id,@score);"; 

然後，我們將在這兩條線加一個您的變量來填充參數

command.Parameters.AddWithValue("@Id", Id); 
command.Parameters.AddWithValue("@score", score); 

由於這不是一個SELECT語句，不需要讀者。您可以使用ExecuteNonQuery命令，它會返回受影響的行數（應爲1這個INSERT語句。

int RowsAffected = command.ExecuteNonQuery();