参数化查询对SQL注入有何帮助?
参数化查询对SQL注入有何帮助?
过路 txtTagNumber作为查询参数 SqlCommand cmd = new SqlCommand("INSERT INTO dbo.Cars " +"VALUES(@TagNbr);" , conn); cmd.Parameters.Add("@TagNbr", SqlDbType.Int); cmd.Parameters["@TagNbr"].Value = txtTagNumber.Text;转换 txtTagNumber在构造查询之前转换为整数。 int tagnumber = txtTagNumber.Text.ToInt16(); /* EDITED */INSERT into Cars values(tagnumber.Text); /* then is it the same? */
明月笑刀无情浏览 572回答 3
3回答
-
互换的青春
参数化查询在运行SQL查询之前对参数进行适当的替换。它完全消除了“脏”输入更改查询含义的可能性。也就是说,如果输入包含SQL,它就不能成为执行内容的一部分,因为SQL从未注入到结果语句中。
随时随地看视频慕课网APP
C#
MySQL
.NET