例如,這是我使用的代碼:使用帶參數的動態SQL是否安全?如果不是,可能會遇到哪些安全問題?
String commandString = "UPDATE Members SET UserName = @newName , AdminLevel = @userLevel WHERE UserID = @userid";
using (SqlConnection conn = new SqlConnection(ConfigurationManager.ConnectionStrings["sqlconnectionstring"].ConnectionString))
{
SqlCommand cmd = new SqlCommand(commandString, conn);
cmd.Parameters.Add("@newName", newName);
cmd.Parameters.Add("@userLevel", userLevel);
cmd.Parameters.Add("@userid", userid);
conn.Open();
cmd.ExecuteReader();
Reader.Close();
}
這是首選的,安全的方式來做到這一點(Baring一些微妙的錯誤,我失蹤) – Greg
真棒迴應傢伙!欣賞它! – RoundOutTooSoon