私はプログラミングの初心者です。誰かが私を助けてくれることを願っています。 私はC#で受け取ったデータをMySqlに保存します:受け取ったデータに応じて、テーブルは変数 でなければなりません。C#からMySqlへのInsertQuery
ストリングmyInsertQuery = String.Formatの(「volumen。INSERT INTO(日付、時刻、 bidvol、bidprice、askprice、askvol、lastprice、体積)VALUES({0}、 {1}、{2}、 {3}、{4}、{5}、{6}、{7}) "、now_date_marketlast、 now_time_marketlast、bidvol、bidprice、askprice、askvol、ePrice1、 e.Volume);
しかし、テーブル変数を定義する方法です。 volumenを{0}に置き換えると、テーブルは動作しません。 私を助けてください。 ありがとうございます。
この試してください:あなたは、テーブル名を割り当てることにしたい場合は
var tableName = "volumen";
string myInsertQuery = String.Format("INSERT INTO {8} (date, time, bidvol, bidprice, askprice, askvol, lastprice, volume) VALUES({0}, {1}, {2}, {3}, {4}, {5}, {6}, {7})", now_date_marketlast, now_time_marketlast, bidvol, bidprice, askprice, askvol, ePrice1, e.Volume, tableName);
を。あなたはこれを行うことができます:
string myInsertQuery = String.Format("INSERT INTO {8} (date, time, bidvol, bidprice, askprice, askvol, lastprice, volume) VALUES({0}, {1}, {2}, {3}, {4}, {5}, {6}, {7})", now_date_marketlast, now_time_marketlast, bidvol, bidprice, askprice, askvol, ePrice1, e.Volume, volumen);
Volumenを自分のテーブル名がまず
オフになっている、それはSQLインジェクション攻撃にあなたのコードを開きますので、あなたはおそらく、あなたがしようとしている何を行うにはしたくありません。 SqlCommandオブジェクトを使用して、SQLインジェクションに対してオープンではないSQLステートメントを動的に作成する方法があります。
volumenを{0}に置き換えると、値のリストの先頭にテーブル名を追加しない限り、now_date_marketlastがテーブル名として挿入されます。これを書くための適切な方法は、次のようになります。
string myInsertQuery = String.Format("INSERT INTO {0} (date, time, bidvol, bidprice, askprice, askvol, lastprice, volume) VALUES({1}, {2}, {3}, {4}, {5}, {6}, {7}, {8})", "volumen", now_date_marketlast, now_time_marketlast, bidvol, bidprice, askprice, askvol, ePrice1, e.Volume);
あなたはまだあなただけのコード内の別のポイントでそれをやっている、テーブル名を指定する必要があるとしています。ここでも、SQLインジェクションのために良いアイデアはありません。
あなたが渡しているデータに応じてMySQLがどのテーブルを使用しているかを判断する方法を探しているなら、データベースエンジンはこのように動作しない傾向があります。
あなたの声明には誤りがあります。 {0}に間違った値を割り当てています – DarthVader
コードには、SQLインジェクションと呼ばれる深刻なセキュリティリスクがあります。パラメータ化クエリ(SQLセキュリティの問題をすべて解決するわけではありませんが、簡単で安全なコードに向かって進んでいきます)を読むことをお勧めします。 –