2
我在C#中第一次在一段时间内工作,我有这样的一行代码。Secure string.Format对象C#
SQL = string.Format("PageName = '{0}'", bp.CommandArgument);
我需要知道如何从任何SQL注入中保护对象“bp.CommandArgument”。谢谢。
A
回答
6
为什么不使用sql参数?
string commandTxt = "SELECT ... FROM ... WHERE [email protected]";
var command = new SqlCommand(commandTxt, connection);
command.Parameters.Add("@PageName", bp.CommandArgument);
我认为connection是已宣布SqlConnection对象。
相关问题
- 1. 用“+” C#的String.format对象ARGS
- 2. C#的String.Format和对象作为参数
- 3. string.Format - 划分两个对象?
- 4. C# - String.Format()
- 5. 将未知对象的数组传递到string.Format中c#
- 6. 的String.Format VS + C#
- 7. 的String.Format在C#
- 8. 的String.Format(“”,对象),而不对象的格式
- 9. String.Format针对string.Format。任何问题?
- 10. Secure StringSinks
- 11. Lua string.format%c与string.char
- 12. C#string.format添加“ - ”值?
- 13. php exec()secure
- 14. sql server secure ftp
- 15. C#对象/对象
- 16. C#的String.format 1000,00到1.000,00
- 17. 具有空值的String.Format C#
- 18. 的String.Format逃逸VB VS C#
- 19. 如何使用的String.Format(C#)
- 20. 带''字符的C#String.Format
- 21. 围捕的String.format在C#
- 22. C#string.Format抛出异常
- 23. C#String.Format()等效于PHP?
- 24. C++ String.Format实现错误
- 25. 的String.Format参数OUT C#
- 26. Xamarin.Android Secure Strorage(Keystore)
- 27. Now.js和secure
- 28. CipherMail Secure WebMail
- 29. html php mysql secure
- 30. 的String.Format货币对TextBoxFor
请勿首先使用字符串格式化/连接创建SQL查询,请使用[Parameters](https://msdn.microsoft.com/zh-cn/library/system.data.sqlclient.sqlparameter%28v=vs 0.110%29.aspx)。 – Habib 2015-02-23 18:20:53