SqlParameter防止SQL注入
2024-09-25 22:21:31
SQL注入的解决方案有好几种,待我细细研究过之后逐一讲解。
方法一:SqlParameter方法
这里有一篇博客是详细介绍SqlParameter的,可以看看 点我
string sqlStr="select * from Table where Id=@AutoID";
SqlParameter[] parameters = {
new SqlParameter("@AutoID", SqlDbType.Int,) };
parameters[].Value = AutoID;
cmd.Parameters.Add(parameters); //如此调用
如果参数不止一个的话,就多new几个,然后使用AddRange()方法就可以。
大概就是上面代码的那样子是最常使用的。
SqlParameter方法的原理呢,就是参数化查询时,用户输入的参数仅仅作为参数而永远不会作为查询语句的一部分
什么意思呢?直白的讲,参数化之后,用户输入的东西仅仅的SQL语句的参数,在执行的时候加上 '' 它仅仅作为参数,不会变成SQL逻辑语句的一部分。
最新文章
- css absolute和float,relative,z-index的同异
- 期望+DP ZOJ 3929 Deque and Balls
- 关于MVC
- 史上最全Java表单验证封装类
- json序列指定名称
- GNU Binutils工具
- Tomcat问题笔记
- EL表达式简单应用
- 注意在insert插入数据库时的int类型问题
- EasyUI DataGrid定制默认属性名称
- 【Python之路】第二篇--初识Python
- Bitmap与Matrix旋转ImageView
- Redis学习-Set
- 为table元素添加操作日志
- 云计算之路-阿里云上:节点 CPU 波动引发 docker swarm 集群故障
- Linux分页机制之概述--Linux内存管理(六)
- autoit脚本-从基本的函数用法开始
- 2.3 i++/i--与++i/--i的运算
- NodeJS学习笔记 - Apache反向代理集成实现
- 数据连接工具DbVisualizer的使用