2
我在C#中第一次在一段時間內工作,我有這樣的一行代碼。Secure string.Format對象C#
SQL = string.Format("PageName = '{0}'", bp.CommandArgument);
我需要知道如何從任何SQL注入中保護對象「bp.CommandArgument」。謝謝。
A
回答
6
爲什麼不使用sql參數?
string commandTxt = "SELECT ... FROM ... WHERE [email protected]";
var command = new SqlCommand(commandTxt, connection);
command.Parameters.Add("@PageName", bp.CommandArgument);
我認爲connection是已宣佈SqlConnection對象。
相關問題
- 1. 用「+」 C#的String.format對象ARGS
- 2. C#的String.Format和對象作爲參數
- 3. string.Format - 劃分兩個對象?
- 4. C# - String.Format()
- 5. 將未知對象的數組傳遞到string.Format中c#
- 6. 的String.Format VS + C#
- 7. 的String.Format在C#
- 8. 的String.Format(「」,對象),而不對象的格式
- 9. String.Format針對string.Format。任何問題?
- 10. Secure StringSinks
- 11. Lua string.format%c與string.char
- 12. C#string.format添加「 - 」值?
- 13. php exec()secure
- 14. sql server secure ftp
- 15. C#對象/對象
- 16. C#的String.format 1000,00到1.000,00
- 17. 具有空值的String.Format C#
- 18. 的String.Format逃逸VB VS C#
- 19. 如何使用的String.Format(C#)
- 20. 帶''字符的C#String.Format
- 21. 圍捕的String.format在C#
- 22. C#string.Format拋出異常
- 23. C#String.Format()等效於PHP?
- 24. C++ String.Format實現錯誤
- 25. 的String.Format參數OUT C#
- 26. Xamarin.Android Secure Strorage(Keystore)
- 27. Now.js和secure
- 28. CipherMail Secure WebMail
- 29. html php mysql secure
- 30. 的String.Format貨幣對TextBoxFor
請勿首先使用字符串格式化/連接創建SQL查詢,請使用[Parameters](https://msdn.microsoft.com/zh-cn/library/system.data.sqlclient.sqlparameter%28v=vs 0.110%29.aspx)。 – Habib 2015-02-23 18:20:53