teratail
回答率
85.48%
質問するログイン新規登録

質問をすることでしか得られない、回答やアドバイスがある。

15分調べてもわからないことは、質問しよう!

新規登録して質問してみよう
ただいま回答率
85.48%
トップC#に関する質問
C#

C#はマルチパラダイムプログラミング言語の1つで、命令形・宣言型・関数型・ジェネリック型・コンポーネント指向・オブジェクティブ指向のプログラミング開発すべてに対応しています。

Q&A

解決済

1回答

2389閲覧

C#のコード解説お願いします

panjaA
panjaA

総合スコア67

C#

C#はマルチパラダイムプログラミング言語の1つで、命令形・宣言型・関数型・ジェネリック型・コンポーネント指向・オブジェクティブ指向のプログラミング開発すべてに対応しています。

0グッド

1クリップ

投稿2017/08/06 09:07

0

1

リンク
上記サイトのプログラムを見ていてわからないところがあります。
下記コードの//SQLの準備 の部分がなにをしているのか具体的にわかりません。できればクラスやメソッドレベルで詳しく解説していただきたいです。
よろしくお願いします。
(C#初心者です。)

using System;
using System.Configuration;
using System.Data.SqlClient;
 
public void Insert1(string id, string password, string role)
{
    // 接続文字列の取得
    var connectionString = ConfigurationManager.ConnectionStrings["sqlsvr"].ConnectionString;
 
    using (var connection = new SqlConnection(connectionString))
    using (var command = connection.CreateCommand())
    {
        try
        {
            // データベースの接続開始
            connection.Open();
 
            // SQLの準備
            command.CommandText = @"INSERT INTO T_USER (ID, PASSWORD, ROLE_NAME) VALUES (@ID, @PASSWORD, @ROLE_NAME)";
            command.Parameters.Add(new SqlParameter("@ID", id));
            command.Parameters.Add(new SqlParameter("@PASSWORD", password));
            command.Parameters.Add(new SqlParameter("@ROLE_NAME", role));
 
            // SQLの実行
            command.ExecuteNonQuery();
        }
        catch (Exception exception)
        {
            Console.WriteLine(exception.Message);
            throw;
        }
        finally
        {
            // データベースの接続終了
            connection.Close();
        }
    }
}

気になる質問をクリップする

クリップした質問は、後からいつでもMYページで確認できます。

またクリップした質問に回答があった際、通知やメールを受け取ることができます。

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

guest

回答1

0

ベストアンサー

INSERT文を作って実行するのですが、実際にINSERする値を外部から指定しています。
分かりやすく言うと関数に引数を渡しているのと同じです。

sqlを組み立てるときに以下のように直接文字列を操作することもできるのですが
SQLインジェクションという最狂にして最恐のセキュリティの脆弱性を持たせてしまいます。

C#
1command.commandText + @"INSERT INTO T_USER (ID, PASSWORD, ROLE_NAME) VALUES ('" + id + "', '" + password 
2 + "','" + role + "')";
3

SQLインジェクションのwikipedia
https://ja.wikipedia.org/wiki/SQL%E3%82%A4%E3%83%B3%E3%82%B8%E3%82%A7%E3%82%AF%E3%82%B7%E3%83%A7%E3%83%B3

@IDというパラメータでSQL文を作っておいて、@IDの実際の値をParameters.Add しています。

パラメータにすることで、危険な文字列はすべて自動でエスケープされて安全なSQL文を実行します。

投稿2017/08/06 09:25

Tak1016
Tak1016

総合スコア1408

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

panjaA
panjaA

2017/08/06 09:49

大変わかりやすかったです! ありがとうございました。
guest

あなたの回答

tips

太字

斜体

打ち消し線

見出し

引用テキストの挿入

コードの挿入

リンクの挿入

リストの挿入

番号リストの挿入

表の挿入

水平線の挿入

プレビュー

質問の解決につながる回答をしましょう。 サンプルコードなど、より具体的な説明があると質問者の理解の助けになります。 また、読む側のことを考えた、分かりやすい文章を心がけましょう。

15分調べてもわからないことは
teratailで質問しよう!

ただいまの回答率
85.48%

質問をまとめることで
思考を整理して素早く解決

テンプレート機能で
簡単に質問をまとめる

質問する

関連した質問

トップC#に関する質問

C#のコード解説お願いします