SqlParameter防止SQL注入

Posted 蜀云泉

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了SqlParameter防止SQL注入相关的知识,希望对你有一定的参考价值。

 

  SQL注入的解决方案有好几种,待我细细研究过之后逐一讲解。

方法一:SqlParameter方法

这里有一篇博客是详细介绍SqlParameter的,可以看看 点我

string sqlStr="select * from Table where [email protected]";
  SqlParameter[] parameters = {
    new SqlParameter("@AutoID", SqlDbType.Int,4) };
  parameters[0].Value = AutoID;

大概就是上面代码的那样子是最常使用的。

SqlParameter方法的原理呢,就是参数化查询时,用户输入的参数仅仅作为参数而永远不会作为查询语句的一部分

什么意思呢?直白的讲,参数化之后,用户输入的东西仅仅的SQL语句的参数,在执行的时候加上 ‘‘ 它仅仅作为参数,不会变成SQL逻辑语句的一部分。

 

以上是关于SqlParameter防止SQL注入的主要内容,如果未能解决你的问题,请参考以下文章

asp.net 怎么防止SQL注入攻击啊???

EF框架另一个 SqlParameterCollection 中已包含 SqlParameter。

MyBatis如何防止SQL注入

MyBatis怎么防止SQL注入

Ado.net 三[SQL注入,DataAdapter,sqlParameter,DataSet]

mybatis以及预编译如何防止SQL注入