如何将数据插入mysql表？

Question

我正在尝试将数据插入 mysql 数据库。数据的连接和显示工作。

但我不知道如何在 C 代码中使用 INSERT INTO table 命令。

我尝试将带有scanf/getchar 的字符串读取到mysql 命令中的值，但没有成功。

在我的程序中读取数据后如何往mysql表中插入数据？

我在 Linux 中工作。

这是我的源代码：

#include <stdio.h>
#include <stdlib.h>
#include <mysql/mysql.h>

static char *host = "localhost";
static char *user = "root";
static char *pass = "PASSWORD";
static char *dbname = "tutorial";

unsigned int port = 3306;
static char *unix_socket = NULL;
unsigned int flag = 0;

int main()
{
MYSQL *conn;
MYSQL_RES * res;
MYSQL_ROW row;
conn = mysql_init(NULL);

if(!(mysql_real_connect(conn, host, user, pass, dbname, port, unix_socket, flag)))
{
    fprintf(stderr, "Error: %s[%d]", mysql_error(conn), mysql_errno(conn));
    exit(1);
}

mysql_query(conn, "SELECT * FROM users");
res = mysql_store_result(conn);


while(row = mysql_fetch_row(res))
{
    printf("%s\t%s\n", row[0], row[1]);
}

mysql_free_result(res);
mysql_close(conn);

return EXIT_SUCCESS;
}

我试过了：

...
int id[1] = 5;
char name[8] = "Jack";
...
mysql_query(conn, INSERT INTO users(id, name) VALUES(id, name);
...

Answer 1

您必须在创建查询之前准备好 C 字符串。

您可以使用snprintf 这样做：

#define MAX_STRING 128
char query[MAX_STRING] = {0};
int id = 5;
char name[] = "jack";

snprintf(query, MAX_STRING, "INSERT INTO users (id, name) VALUES (%d, '%s')", id, name);

mysql_query(conn, query);

正如@viraptor 指出的上面的解决方案存在 sql 注入问题。 您应该使用 mysql api（编码为完全安全）来完成这项工作：

#define INSERT_QUERY = "INSERT INTO users (id, name) VALUES (?,?)";

int id = 5;
char name[] = "jack";
size_t str_length = strlen(name);

MYSQL_STMT *stmt = mysql_stmt_init(mysql);
if (!stmt)
{
   fprintf(stderr, " mysql_stmt_init(), out of memory\n");
     exit(0);
}
if (mysql_stmt_prepare(stmt, INSERT_QUERY, strlen(INSERT_QUERY)))
{
   fprintf(stderr, " mysql_stmt_prepare(), INSERT failed\n");
   fprintf(stderr, " %s\n", mysql_stmt_error(stmt));
   exit(0);
}

MYSQL_BIND bind[2];

/* INTEGER PARAM */
/* This is a number type, so there is no need
   to specify buffer_length */
bind[0].buffer_type= MYSQL_TYPE_LONG;
bind[0].buffer= (char *)&id;
bind[0].is_null= 0;
bind[0].length= 0;

/* STRING PARAM */
bind[1].buffer_type= MYSQL_TYPE_STRING;
bind[1].buffer= (char *)name;
bind[1].buffer_length= str_length+1;
bind[1].is_null= 0;
bind[1].length= &str_length;

/* Bind the buffers */
if (mysql_stmt_bind_param(stmt, bind))
{
  fprintf(stderr, " mysql_stmt_bind_param() failed\n");
  fprintf(stderr, " %s\n", mysql_stmt_error(stmt));
  exit(0);
}

/* Execute the INSERT statement - 2*/
if (mysql_stmt_execute(stmt))
{
  fprintf(stderr, " mysql_stmt_execute, 2 failed\n");
  fprintf(stderr, " %s\n", mysql_stmt_error(stmt));
  exit(0);
}

/* Get the total rows affected */
my_ulonglong affected_rows= mysql_stmt_affected_rows(stmt);
fprintf(stdout, " total affected rows(insert 2): %lu\n",
                (unsigned long) affected_rows);

if (affected_rows != 1) /* validate affected rows */
{
  fprintf(stderr, " invalid affected rows by MySQL\n");
  exit(0);
}

/* Close the statement */
if (mysql_stmt_close(stmt))
{
  fprintf(stderr, " failed while closing the statement\n");
  fprintf(stderr, " %s\n", mysql_stmt_error(stmt));
  exit(0);
}

您可以找到此代码的参考at this link

Answer 2

查看https://dev.mysql.com/doc/refman/5.7/en/mysql-stmt-execute.html 的示例，了解如何执行此操作。

总而言之，您创建一个准备好的语句，使用mysql_stmt_prepare 对其进行初始化，然后通过mysql_stmt_bind_param 传递值。

您还可以使用https://dev.mysql.com/doc/refman/5.7/en/mysql-real-escape-string-quote.html 引用的值构造查询的文本版本，但在这种情况下很容易意外跳过某些元素。