使用参数来防止SQL注入

SQL注入的威力是不可忽视的,下面我们主要介绍防范方法——使用参数化SQL。对于不同的数据供应器都有对就的 Parameter 来表示SQL语句或者存储过程中的各种参数。参数和数据库字段的真实类型——对应,所有参数的值会仅仅被认为一个参数。因此,在参数中任何SQL语句都是没有意义的。

string sConnectionString = @"Server=(local)\SQLEXPRESS;database=Forum;Trusted_Connection=True";
using (SqlConnection conn = new SqlConnection(sConnectionString))
{
    conn.Open();
    using (SqlCommand cmd = new SqlCommand("SELECT COUNT(*) FROM tbClass WHERE ClassName=@ClassName", conn))
    {
        cmd.Parameters.AddWithValue("@ClassName", tb_ClassName.Text);
        Response.Write(string.Format("共有{0}条记录符合要求<br />", cmd.ExecuteScalar().ToString()));
    }
}

在这段程序中,我们使用参数代替字符串的拼接。我们需要注意如下几点。

·SQL语句或者存储过程中指定的所有参数必须和Parameters属性中的所有参数对应。

·参数集合的Add()方法有多种重载

cmd.Parameters.AddWithValue("@ClassName", tb_ClassName.Text);

//就可以替代

cmd.Parameters.Add("@ClassName", SqlDbType.VarChar, 50);
cmd.Parameters["@ClassName"].Value = tb_ClassName.Text;
 

AddWithValue()方法会自动检测参数的类型和长度,对于Add()方法其实也可以省略参数类型和长度。不过为了程序的可读性还是建议你为参数指字类型和长度,当然这个类型和长度需要和数据库字段的真实类型和长度对应。

  我们还注意到,SqlParameter 对象有一个 Diection 方法。对于SQL语句中的参数,这个值没有什么意义,它是用来指定存储过程参数方向。它的值由 ParameterDirection 枚举来定义,共有以下4个类型。

      ·Input

  ·InputOutput

  ·Putput

  ·ReturnValue

转载于:https://www.cnblogs.com/hulang/archive/2010/12/29/1920643.html

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值