3
我繼承了代碼,我正在修復安全漏洞。在調用存儲過程時處理SQL注入的最佳做法是什麼?調用存儲過程時處理SQL注入的最佳實踐
的代碼是一樣的東西:
StringBuilder sql = new StringBuilder("");
sql.Append(string.Format("Sp_MyStoredProc '{0}', {1}, {2}", sessionid, myVar, "0"));
lock (_lock)
{
using (SqlConnection connection = new SqlConnection(ConfigurationManager.ConnectionStrings["Main"].ToString()))
{
connection.Open();
using (SqlCommand command = new SqlCommand(sql.ToString(), connection))
{
command.CommandType = CommandType.Text;
command.CommandTimeout = 10000;
returnCode = (string)command.ExecuteScalar();
}
}
}
我只是做同樣的事情用一個普通的SQL查詢和使用AddParameter
正確添加參數?
那是什麼鎖? – 2013-02-16 01:21:33
什麼也沒有,老蹩腳的代碼,這是沒有任何意義的 – cdub 2013-02-16 01:31:36