Witam, w mojej aplikacji łączę się z bazą danych(mam sytem logowania i kilka innych rzeczy). Zapytania tworzę w ten sposób:
public static void AddUser(string login, string password)
{
string commandText = string.Format("INSERT INTO Users (Login, Password) VALUES ('{0}', '{1}')", login, password);
using (MySqlCommand cmd = new MySqlCommand(commandText, Connection))
{
cmd.ExecuteNonQuery();
}
}
Słyszałem, że taki kod nie jest ani elegancki, ani odporny na ataki typu SQLInjection. Jak to zrobić prawidłowo? Pisząc komendy w ten sposób łatwo się pomylić. Są jakieś klasy/metody/co kolwiek do tworzenia zapytań SQL/MySQL?