c# - 如何在 C# 中安全地创建 mysql 数据库

Question

我有一个 C# 程序，我想用它动态创建数据库。虽然只有特权用户才能使用此应用程序，但我想在安全方面遵循最佳实践。我该怎么做呢？我不认为我可以在这种情况下使用参数化查询，因为我不想传入字符串，我想传入标识符。

这是我现在作为占位符进入那里的不安全方式:

using (MySqlConnection connection = new MySqlConnection(connectionString))
        using (MySqlCommand command = connection.CreateCommand())
        {
            connection.Open();
            command.CommandText = "DROP SCHEMA IF EXISTS " + schema;
            command.ExecuteNonQuery();
            command.CommandText = "CREATE SCHEMA " + schema;
            command.ExecuteNonQuery();
        }

对此有什么想法吗？

Answer 1

您可以使用反引号分隔符来确保字符串被正确引用并确保用户输入的任何内容都用作文字标识符。

参见:http://dev.mysql.com/doc/refman/5.0/en/identifiers.html和 Using backticks around field names

这样，传递给服务器的命令将类似于:“DROP SCHEMA IF EXISTS foo”，这将允许使用保留字和其他不正确的字符串值作为标识符。