大家好,我想知道是否有人知道一些详细介绍 .NET Web 应用程序 SQL 注入预防的好网站。任何资源都将得到极大的利用,谢谢。
我认为,如果您在 google 上搜索一下“防止 .NET 中的 sql 注入”,您会发现很多好的资源。 :)
无论如何,一件非常重要的事情是不要使用字符串连接来构建查询。
相反,使用参数化查询。 ADO.NET 允许以非常简单的方式执行此操作:
string sql = "SELECT * FROM Persons WHERE Persons.Lastname LIKE @p_Name";
SqlCommand cmd = new SqlCommand (sql);
cmd.Parameters.Add ("@p_Name", SqlDbType.Varchar).Value = textBox1.Text + "%";
本文内容由网友自发贡献,版权归原作者所有,本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容,请联系:hwhale#tublm.com(使用前将#替换为@)