检查用户是否存在于MySQL数据库中失败

Question

不知道为什么下面的代码给我一个例外。我试图检查一个用户名是否存在于MySQL数据库中，如果没有，那么我想创建一个用户。如果我自己运行查询，那么它可以正常工作，但不能在一起。

int valid = -1;    

    using (MySqlConnection cnn = new MySqlConnection(conString)) 
     { 
      cnn.Open(); 

      bool usernameExists = false; 

      string sql1 = String.Format("SELECT Username FROM Users WHERE Username = \"{0}\"", username); 
      MySqlCommand cmd1 = new MySqlCommand(sql1, cnn); 

      usernameExists = (int)cmd1.ExecuteScalar() > 0; 

      if (!usernameExists) 
      { 
       string sql = String.Format("INSERT INTO Users(Username, Password) VALUES(\"{0}\", \"{1}\")", username, password); 
       MySqlCommand cmd = new MySqlCommand(sql, cnn); 

       valid = cmd.ExecuteNonQuery(); 
      } 
     } 
    return valid; 

Answer 1

我得到它的工作通过改变第一查询：

MySqlCommand cmd1 = new MySqlCommand("SELECT Username FROM Users WHERE Username = @username LIMIT 1", cnn); 

到

MySqlCommand cmd1 = new MySqlCommand("SELECT COUNT(UserID) FROM Users WHERE Username = @username", cnn); 
int valid = int.Parse(cmd.ExecuteScalar().ToString()); 

感谢您的帮助。

Answer 2

首先，MySQL使用单引号。这意味着您的查询将是：

string.format("SELECT Username FROM Users WHERE Username = '{0}' LIMIT 1", Username); 

但是，这是SQL注入非常脆弱。这里有一个使用MySQL参数来防止它的代码。

int valid = -1;    

using (MySqlConnection cnn = new MySqlConnection(conString)) 
    { 
     cnn.Open(); 

     bool usernameExists = false; 

     MySqlCommand cmd1 = new MySqlCommand("SELECT Username FROM Users WHERE Username = @username LIMIT 1", cnn); 
     cmd1.Parameters.AddWithValue("@username", username); 

     usernameExists = (int)cmd1.ExecuteScalar() > 0; 

     if (!usernameExists) 
     { 
      MySqlCommand cmd = new MySqlCommand("INSERT INTO Users(Username, Password) VALUES(@username, @password)", cnn); 
      cmd.Parameters.AddWithValue("@username", username); 
      cmd.Parameters.AddWithValue("@password", password); 

      valid = cmd.ExecuteNonQuery(); 
     } 
    } 
return valid; 

你能试试吗？