近期在工作中接触了一套游戏服务端的代码，它是用C#写的逻辑，其中发现在客户端登陆的时候，服务端中处理登陆验证的模块没有先对账户名的合法性进行验证，而且还直接用sql语句拼接账户名的方法去查询数据库，很明显者存在一个SQL注入漏洞，为此我对写这代码的同胞鄙视了一番。鄙视归鄙视，作为一个5好青年，当然不会让这个洞存在下去。于是，我想了一会，觉得先要对接收到的账户名做合法性验证，然后sql语句要改成存储过程。想法有了，马上动手，合法验证倒是一会儿解决了，但是之前没接触过C#操作数据库，存储过程这里就要查资料了，发现好多资料都是操作sqlserver的，而我要的是mysql。最后，功夫不负有心人，在我东平西凑下，终于完成了我需要的功能。特此写博于此，记录一下C#操作MySql存储过程的方法。:)

环境

Mysql: 6.0.11-alpha-community MySQL Community Server (GPL)
系统：Win7 64bit 专业版
C#：.Net Framework 3.5

C#代码

using System;
using System.Collections.Generic;
using System.Linq;
using System.Text;
using MySql.Data.MySqlClient;

namespace TestMysql2
{
    class Program
    {
        static void Main(string[] args)
        {
            MySqlConnection conn = new MySqlConnection("Database=test;Data Source=localhost;User Id='test';Password='test';pooling=true;Minimum Pool Size=5;Maximum Pool Size=10;CharSet=utf8;port=3306;Connect Timeout=3600");
            conn.Open();

            MySqlCommand cmd = new MySqlCommand("JugePasswordCorrect", conn);
            cmd.CommandType = System.Data.CommandType.StoredProcedure;
            cmd.Parameters.Add("?username", MySqlDbType.VarChar, 64);
            cmd.Parameters["?username"].Value = "test";
            cmd.Parameters.Add("?pwd", MySqlDbType.VarChar, 32);
            cmd.Parameters["?pwd"].Value = "test";
            int rows = Convert.ToInt32(cmd.ExecuteScalar());
            if (rows > 0)
            {
                // 密码正确
            }
            conn.Close();
        }
    }
}

MySql过程

CREATE PROCEDURE JugePasswordCorrect(in username VARCHAR(64), in pwd VARCHAR(32))
BEGIN
SELECT COUNT(*) FROM acctable WHERE account=username AND password=pwd;
END;