SqlParameter避免sql注入 - 走看看

zoukankan html css js c++ java

SqlParameter避免sql注入

简单的给个示例

传统的查询语句的sql可能为
string sql="select * from users where user_id='"+Request.QueryString["uid"]+"'";
很显然，我们在这里拼接了字符串，这就给sql注入留下了可乘之机。

现在，我们要改写这样的语句，使用SqlParameter来做

SqlCommand SqlCmd = new SqlCommand(sql, SqlConn);
SqlParameter _userid = new SqlParameter("uid", SqlDbType.Int);
_userid.Value = Request.QueryString["u_id"];
SqlCmd.Parameters.Add(_userid);

这样，我们可以保证外接参数能被正确的转换，单引号这些危险的字符也会转义了，不会再对库造成威胁。

查看全文

相关阅读:
商户网站使用第三方支付的大致原理和实现
 ASP.NET MVC中检测浏览器版本并提示下载更新
 如何选择使用IEnumerable, ICollection, IList
IEnumerable和IQueryable的区别以及背后的ExpressionTree表达式树
 IEnumerable是集合,IEnumerator是集合的迭代器
 ASP.NET MVC中使用Session来保持表单的状态
 在ASP.NET MVC中实现Select多选
 总结ASP.NET MVC视图页使用jQuery传递异步数据的几种方式
 在ASP.NET MVC4中使用Quartz.NET执行定时任务
 委托, 泛型委托,Func<T>和Action<T>

原文地址：https://www.cnblogs.com/eebb/p/746360.html

Copyright © 2011-2022 走看看