0
我已經看到了一些示例如何使用參數來避免字符轉義。使用參數對SQL注入是否安全100%?C#ASP.NET SQL參數化
此外,你可以請一些基本的查詢(這是reguraly使用),以及你如何實現參數?
我之前搜索過的一些網站提供了太複雜的例子。
A
回答
2
參數化的SQL查詢的一個基本的例子如下:
SqlCommand command = new SqlCommand(@"select city from users where username = @username", conn);
SqlParameter param = new SqlParameter();
param.ParameterName = "@username";
param.Value = "abc123"
command.Parameters.Add(param);
conn是已經建立的SqlConnection的。
@username是執行命令時將被替換的參數名稱。
abc123是我爲示例設置的用戶名。
這顯然是一個編造的場景,但你明白了。
0
作爲一個較短的版本,你可以使用
SqlCommand command = new SqlCommand(@"select city from users where username = @username", conn);
command.Parameters.AddWithValue("@username", "value");
+0
確定 - 但使用'.AddWithValue()'方法基本上告訴ADO.NET猜測所使用的數據類型 - 大部分時間它的表現都很好。但有時候,它已經關閉 - 有時候關閉很多。因此,我不建議這樣做 - 總是明確定義**數據類型總是更好,並且不會讓ADO.NET運行時造成猜測...... – 2012-04-22 20:20:20
+0
我相信'AddWithValue'有一個重載讓你通過一個類型。 – 2012-04-22 21:05:30
相關問題
- 1. SQL參數化
- 2. 從參數化SQL查詢
- 3. ASP.net/C#參數
- 4. C#的Postgre SQL參數化查詢#
- 5. 參數和SQL注入asp.net
- 6. SQL參數化與轉義
- 7. 參數化的SQL腳本
- 8. oracle sql的參數化值
- 9. 解析T-SQL以參數化查詢
- 10. C#Asp.NET獲取URL參數
- 11. Asp.net,C#,列表參數
- 12. ASP.NET中的參數化查詢SQL注入
- 13. 使用DataAdapter/Dataset進行Asp.net參數化SQL查詢
- 14. C# - SQL Server - ?參數和Oledb
- 15. C#SQL參數限制?
- 16. C#參數無效SQL
- 17. C#SQL Top作爲參數
- 18. C#SQL添加參數
- 19. 從SqlDataSource中的語句參數化C#asp.net
- 20. 如何使用ASP.NET的參數化查詢C#
- 21. C++ const參考參數優化
- 22. 如何調試參數化SQL查詢
- 23. JSON序列化和.NET SQL參數
- 24. ASP.net C#SQL COUNT(*)
- 25. 應該參數化ASP.NET MVC視圖
- 26. 參數化SQL插入失敗
- 27. Sql參數化更新命令的語法錯誤 - c#
- 28. 用C#構建一個靈活的參數化adhoc查詢,SQL
- 29. webmatrix 3 C#SQL錯誤參數化查詢
- 30. 幫助C#參數化SQL查詢,並設置空值
我毫不猶豫地指出,什麼是100%安全的。另外,你經常使用的查詢是什麼意思?這完全取決於你的數據模型。 – 2012-04-22 17:04:04