可能重复:
如何从"Bobby Tables"XKCD漫画中注入SQL?
https://stackoverflow.com/search?q=sql+injection
有人可以解释SQL注入吗?它是如何导致漏洞的?注入SQL的确切位置在哪里?
我有这个代码
UPDATE OPENQUERY (db,'SELECT * FROM table WHERE ref = ''"+ Ref +"'' AND bookno = ''"+ Session("number") +"'' ')
我如何防止SQL注入呢?
UPDATE
这就是我正在尝试的
SqlCommand cmd = new SqlCommand("Select * from Table where ref=@ref", con);
cmd.Parameters.AddWithValue("@ref", 34);
出于某种原因,我尝试添加它的一切似乎都不起作用我会在SQL Command下面提到.
错误就是这个
'SqlCommand' is a type and cannot be used as an expression
我正在接管其他人的工作,所以这对我来说是全新的,我想以正确的方式做事情,所以如果有人能提供更多帮助,如何使我的查询在SQL注射之上安全,那么请做.
更新2号
我在代码中添加了VasilP这样说
Dim dbQuery As [String] = "SELECT * FROM table WHERE ref = '" & Tools.SQLSafeString(Ref) & "' AND bookno = '" & Tools.SQLSafeString(Session("number")) & "'" …