我現在讀了很多關於SQL注入並試圖阻止它。我已經遇到了幾篇文章關於如何以及爲什麼使用Command.Parameters.Add()如何防止SQL注入? C#
Command.Parameters.Add()
但我仍在尋找一個答案如何以及爲什麼它是防止SQL注入。
MSDN對此沒有太多的信息。
下面是一個例子,我如何使用它:
SqlCommand myCommand = new SqlCommand("SELECT * FROM table WHERE name = @name ", myConnection);
myCommand.Parameters.Add("@name", SqlDbType.NVarChar, 20).Value = "MaMu2";
是我的代碼甚至對SQL注入安全的,還是我錯了?
編輯:主要問題是:它如何在內部工作?
是的,你的代碼是針對SQL注入安全受到黑客攻擊。 – Steve
第二個問題的答案在這裏給出:http://stackoverflow.com/questions/4892166/how-does-sqlparameter-prevent-sql-injection –