SqlParameter避免sql注入 - 走看看

zoukankan html css js c++ java

SqlParameter避免sql注入

简单的给个示例

传统的查询语句的sql可能为
string sql="select * from users where user_id='"+Request.QueryString["uid"]+"'";
很显然，我们在这里拼接了字符串，这就给sql注入留下了可乘之机。

现在，我们要改写这样的语句，使用SqlParameter来做

SqlCommand SqlCmd = new SqlCommand(sql, SqlConn);
SqlParameter _userid = new SqlParameter("uid", SqlDbType.Int);
_userid.Value = Request.QueryString["u_id"];
SqlCmd.Parameters.Add(_userid);

这样，我们可以保证外接参数能被正确的转换，单引号这些危险的字符也会转义了，不会再对库造成威胁。

查看全文

相关阅读:
[WPF系列]基础学习（一） WPF是什么？
[WPF系列]从基础起步学习系列计划
 [WPF系列]Adorner应用-自定义控件ImageHotSpot
Windows Phone 8 开发必备资源
 WPF：数据和行为
 WPF触发器(Trigger)
【WPF】Silverlight中的Action与Trigger
【WPF】 Behavior
Struts2 拦截器配置及使用
 在新建FileInputStream时使用当前相对路径或者绝对路径作为参数的问题

原文地址：https://www.cnblogs.com/eebb/p/746360.html

Copyright © 2011-2022 走看看