参数化sql查询如何防止sql注入
短信预约 -IT技能 免费直播动态提醒
使用参数化查询语句进行查询的示例:
string Account =Request.Form["Account"];
string sql = "select id,Name,Account from User where Account = @Account";
SqlParameter[] values = new SqlParameter[] { //参数化查询, 防止sql注入
new SqlParameter("@Account",Account),
};
DataTable datatable = DBHelper.GetDataTable(sql, values);
//把用户传到后台的账号Account赋值给@Account,这样数据库服务器不会将参数的内容视为SQL指令来处理,而是在数据库完成SQL指令的编译后,才套用参数运行,从而防止SQL注入。
免责声明:
① 本站未注明“稿件来源”的信息均来自网络整理。其文字、图片和音视频稿件的所属权归原作者所有。本站收集整理出于非商业性的教育和科研之目的,并不意味着本站赞同其观点或证实其内容的真实性。仅作为临时的测试数据,供内部测试之用。本站并未授权任何人以任何方式主动获取本站任何信息。
② 本站未注明“稿件来源”的临时测试数据将在测试完成后最终做删除处理。有问题或投稿请发送至: 邮箱/279061341@qq.com QQ/279061341
