那些遇到过的问题

在VB.net中我们如何编码SQL的字符串

Ano*_*ite 1 mysql sql vb.net escaping

例如,在sql中

所有`应该用'`替换?

那么,vb.net内置的函数是否已经完成了那样的事情?

这样我就不用编码了.

顺便说一下,我不直接访问sql数据库.基本上我正在创建一个文本文件,该文本文件包含原始sql语句.大多数答案都涉及直接访问sql数据.

Cur*_*urt 7

我不这么认为,因为我认为这样的事情唯一相关的情况就是如果你在没有参数的情况下进行内联SQL命令.

这存在SQL注入的风险,因此您应该创建如下命令:

Dim cmd As New SqlCommand("UPDATE [TableA] SET ColumnA=@ColumnA WHERE ID=@ID", Conn)
cmd.Parameters.Add("@ColumnA", SqlDbType.NVarChar).Value = txtColumnA.Text
cmd.Parameters.Add("@ID", SqlDbType.Int).Value = ID
cmd.ExecuteNonQuery()
Run Code Online (Sandbox Code Playgroud)

  • 谢谢,我曾经使用我的自定义SQL字符串替换功能的日子畏缩,我的黑客已故网站也是如此:( (2认同)

Dav*_*ele 7

不要试着这样做!我知道您正在尝试避免SQL注入,因此您应该因为考虑安全性而受到表扬.然而,滚动自己的卫生处理程序很容易出错.

在查询中使用参数

cmd.CommandText = "select * from customer where id=?id";

cmd.Parameters.AddWithValue("?id",CustomerIDValue);
Run Code Online (Sandbox Code Playgroud)

归档时间:

查看次数:

6130 次

最近记录:

10 年,2 月 前
相关归档
SQL WHERE ID IN(id1,id2,...,idn) 151
MySQL显示当前的连接信息 117
将Rails放在现有数据库的顶部 24
NULL和NULL应该与FK关系一起表示什么 - 数据库 16
pandas - 在字符串列上合并不起作用(bug?) 16
即使只提取了一条记录,Oracle也会投入大量的I/O. 13
SQL - 不同类别的列 12
.NET本地化:日文字符显示为正方形 9
VB .Net NullReferenceException解决方法 6
在vb.net Webapi项目中缺少request.CreateResponse 6
难疑归档
什么是依赖注入? 2984
撤消git rebase 2965
如何在Java中调用另一个构造函数? 2144
O(log n)究竟意味着什么? 2021
如何使用java.net.URLConnection来触发和处理HTTP请求 1903
如何删除已合并的所有Git分支? 1782
如何在所有浏览器中控制网页缓存? 1474
如何在HTTP POST请求中发送参数? 1396
你什么时候应该使用escape而不是encodeURI/encodeURIComponent? 1371
如何从JavaScript对象中删除密钥? 1171