ADO.NET 解決注入式攻擊的方式
利用參數傳遞來執行SQL可有效的阻絕 SQL injection
string strSQL = "select * from AdminSystem Where AdminID=@AdminID and AdminPwd=@AdminPwd"; string ConnString = ConfigurationManager.ConnectionStrings["SQLConnectionString"].ToString(); conn = new SqlConnection(ConnString); cmd = new SqlCommand(); conn.Open(); cmd.Connection = conn; cmd.Parameters.Add("@AdminID", SqlDbType.NVarChar, 50); cmd.Parameters.Add("@AdminPwd", SqlDbType.NVarChar, 50); cmd.Parameters[0].Value = txtID.Text; cmd.Parameters[1].Value = txtPwd.Text; cmd.CommandText = strSQL; SqlDataReader dr = cmd.ExecuteReader();
留言
張貼留言
您好,我是 Lawrence,這裡是我的開發筆記的網誌,如果你對我的文章有任何疑問或者有錯誤的話,歡迎留言讓我知道。