我對如何防止SQL injectiion與參數化查詢SQL注入,使用參數化的查詢
sqlQuery="SELECT * FROM usersTbl WHERE [email protected] AND [email protected]";
SqlCommand cmd = new SqlCommand(sqlQuery, conn);
SqlParameter[] par = new MySqlParameter[2];
par[0] = new SqlParameter("@uname ", SqlDbType.VarChar,25);
par[1] = new SqlParameter("@passwd", SqlDbType.VarChar, 45);
然後我將它們連接到的SqlCommand和它的ExecuteScalar的幫助下一些問題。
例如客戶端插入字符串;DROP --
在密碼變量,將參數化查詢防止被執行的DROP
查詢?
謝謝
你嘗試了嗎? – 2013-03-23 17:00:10