我很早就学习SQL,但是我遇到了SQL注入的话题,并且明白参数可能是防止它们的最好方法。但我无法找到他们实际存在的任何解释。什么是“参数”,它们如何防止SQL注入?
所以,举例来说,在这个代码在ASP.NET(从W3Schools的):
txtUserId = getRequestString("UserId");
sql = "SELECT * FROM Customers WHERE CustomerId = @0";
command = new SqlCommand(sql);
command.Parameters.AddWithValue("@0",txtUserID);
command.ExecuteReader();
什么DOS下 “command.parameters.addwithvalue” 实际上呢?
对不起,如果这是一个愚蠢的问题,但我找不到它的答案 - 无论我看他们只是说“使用参数”,但没有解释实际上是什么意思...
谢谢!
嗯...'AddWithValue'在Ado.Net库的方法,您可能想要做对方法的一些研究它,然后。我还建议你在运行时运行你的代码并检查程序变量,看看你是否可以理解它。 – 2014-10-27 04:43:24