我是一个新的编码的世界,防止SQL注入ASP .NET
我建了一个大型网站有几个文本框,所以我现在弄清楚,我一直在使用以危险方法像这样的一些东西将在SQL服务器数据:
execSQL("insert into Dossier(ID_Dossier,Nom_Giac) values(" & id_dossier.text & "," Nom_gaic.text & "')")
Public Function execSQL(ByVal req As String, Optional ByVal type As String = "r")
cmd = New SqlCommand
cmd.CommandText = req
cmd.Connection = con
openCon()
If type = "r" Then
Return cmd.ExecuteReader(CommandBehavior.CloseConnection)
Else
Return cmd.ExecuteNonQuery
End If
closeCon()
End Function
我只是想知道,如果在我的整个网站来解决这个问题的任何快捷方式。
使用**参数化查询**,请参阅http://stackoverflow.com/questions/542510/how-do-i-create-a-parameterized-sql-query-why-should-i – mattytommo
对不起讽刺,但恐怕最快的方法是开始_typing更快_...这需要一些时间来解决。 – ppeterka