与MySQL INSERT语句中使用变量

Question

我试图插入一些数据我的MySQL数据库，并已成功的连接并提交的数据，但我的变量保存为变量的实际名称，而不是我想要的价值分配。 我收集登录使用的身份我的ASP系统的用户，并为我的主页上收集的得分从一些单选按钮列表中的用户。

我试着用一个ID为12345的用户的ID保存得分，例如分数为4，它将保存单词Id和单词分数而不是数字。

这里是我当前的代码：

if (score != 0) ; 
    { 
     string Id = User.Identity.GetUserId(); 
     string MyConString = "SERVER=localhost;" + 
     "DATABASE=synther_physics;" + 
     "UID=root;" + 
     "PASSWORD=rootpass;"; 
     MySqlConnection connection = new MySqlConnection(MyConString); 
     MySqlCommand command = connection.CreateCommand(); 
     MySqlDataReader Reader; 
     command.CommandText = "INSERT INTO userscores (Id, momentsandenergytestscore) VALUES ('Id','score');"; 

     connection.Open(); 
     Reader = command.ExecuteReader(); 
     connection.Close(); 


    } 

Answer 1

第一件事就是直接在声明中放置变量是一个禁忌，导致所谓的SQL注入很好的问题。 为了避免这种情况，我们要改变你的命令来使用参数，将与变量填充后

command.CommandText = "INSERT INTO userscores (Id, momentsandenergytestscore) VALUES (@Id,@score);"; 

然后，我们将在这两条线加一个您的变量来填充参数

command.Parameters.AddWithValue("@Id", Id); 
command.Parameters.AddWithValue("@score", score); 

由于这不是一个SELECT语句，不需要读者。您可以使用ExecuteNonQuery命令，它会返回受影响的行数（应为1这个INSERT语句。

int RowsAffected = command.ExecuteNonQuery();