在SQL命令中调用的ASP.NET参数(代码隐藏)

Kat*_*y J 0 c# sql asp.net

如何在sql命令exp中调用asp参数:

cmd.CommandText = "SELECT name FROM server WHERE code="+TextBox1.Text;

Run Code Online (Sandbox Code Playgroud)

这是对的吗？.

(尝试并且没有抑制颤抖)

 cmd.CommandText =  "SELECT name FROM server WHERE code=@code";
 cmd.Parameters.AddWithValue("code", TextBox1.Text);

Run Code Online (Sandbox Code Playgroud)

否则,你刚刚成熟的SQL注入.

切勿将用户输入加入命令

归档时间：	14 年，4 月前
查看次数：	1336 次
最近记录：	14 年，4 月前

解决SQLinjection的问题 2

更多相关链接

在asp.net mvc视图中将字符串显示为html 86

从bcp客户端收到colid 6的无效列长度 76

ASP.NET Web窗体中的jQuery Validation插件 43

我应该如何在类和应用程序层之间传递数据？ 35

找出会话的默认SQL Server架构 25

MSMQ v数据库表 23

为什么查询在SQLAlchemy中调用自动刷新？ 20

如何在GridView中启用IEnumerable数据的自动排序？ 14

如何在Python中处理长SQL语句字符串 14

如何删除AspxAutoDetectCookieSupport 10

如何修改现有的,未删除的提交？ 7669

什么是serialVersionUID,我为什么要使用它？ 2880

PHP:从数组中删除元素 2362

比较Git中的两个分支？ 2149

如何在Node.js中退出 1762

轻松获取最新的git子模块 1748

进程和线程有什么区别？ 1513

重写System.Object.GetHashCode的最佳算法是什么？ 1389

HTML中"role"属性的目的是什么？ 1122

Objective-C中的快捷方式用于连接NSStrings 1114