1回答

开满天机

我通常会检查 id 是否为整数。这样，如果它不是 int，您将获得异常或布尔值。除非您使用 GUID 值，否则它将正常工作。var isNumeric = int.TryParse("123", out int n); //Will give a boolInt32.Parse(yourString); //This will give an exception if it is not an possible integer如果不止于此，那么您可以使用正则表达式来查找奇怪的值并删除不应该存在的字符，例如空格。如果没有空格，大多数 SQL 注入攻击都不会起作用……我想。删除所有空格非常容易，我假设您的 ID（即使它很复杂）不会包含空格。string s = " "string t = s.Replace(" ", ""). //It will be hard to do a sql attack if the spaces are removed.有点离题，但使用 C# 6.0，您可以以不同的方式格式化字符串；这是一个称为“字符串插值”的新功能（感谢 Etienne de Martel）。$"SELECT * FROM `foo` where FooID = '{id}'"

0 0

0