我是一個新的編碼的世界,防止SQL注入ASP .NET
我建了一個大型網站有幾個文本框,所以我現在弄清楚,我一直在使用以危險方法像這樣的一些東西將在SQL服務器數據:
execSQL("insert into Dossier(ID_Dossier,Nom_Giac) values(" & id_dossier.text & "," Nom_gaic.text & "')")
Public Function execSQL(ByVal req As String, Optional ByVal type As String = "r")
cmd = New SqlCommand
cmd.CommandText = req
cmd.Connection = con
openCon()
If type = "r" Then
Return cmd.ExecuteReader(CommandBehavior.CloseConnection)
Else
Return cmd.ExecuteNonQuery
End If
closeCon()
End Function
我只是想知道,如果在我的整個網站來解決這個問題的任何快捷方式。
使用**參數化查詢**,請參閱http://stackoverflow.com/questions/542510/how-do-i-create-a-parameterized-sql-query-why-should-i – mattytommo
對不起諷刺,但恐怕最快的方法是開始_typing更快_...這需要一些時間來解決。 – ppeterka