簡單的給個示例
傳統的查詢語句的sql可能為
string sql="select * from users where user_id='"+request.querystring["uid"]+"'";
很顯然,我們在這裡拼接了字串,這就給sql注入留下了可乘之機。
現在,我們要改寫這樣的語句,使用sqlparameter來做
sqlcommand sqlcmd = new sqlcommand(sql, sqlconn);
sqlparameter _userid = new sqlparameter("uid", sqldbtype.int);
_userid.value = request.querystring["u_id"];
sqlcmd.parameters.add(_userid);
這樣,我們可以保證外接引數能被正確的轉換,單引號這些危險的字元也會轉義了,不會再對庫造成威脅。
動態新增SqlParameter
方法一 動態向sqlparameter 裡新增相應引數,方法如下 先定義乙個 list,然後再往list裡面新增sqlparameter物件,然後將list轉為sqlparameter陣列即可 list ilist new list ilist.add new sqlparameter param1...
動態新增SqlParameter
方法一 動態向sqlparameter 裡新增相應引數,方法如下 先定義乙個list,然後再往list裡面新增sqlparameter物件,然後將list轉為sqlparameter陣列即可 listilist new list ilist.add new sqlparameter param1 1...
Sqlparameter防SQL注入
隨著b s 模式應用開發的發展,使用這種模式編寫應用程式的程式設計師也越來越多。但是由於這個行業的入門門檻不高,程式設計師的水平及經驗也參差不齊,相當大一部分程式設計師在編寫 的時候,沒有對使用者輸入資料的合法性進行判斷,使應用程式存在安全隱患。使用者可以提交一段資料庫查詢 根據程式返回的結果,獲得...