0
A
回答
3
基本上,无论你是连接字符串,共同创造你的SQL语句,特别是那些来自用户的输入,是脆弱的。
而不是使用SQL参数,它可以添加到您的SQL命令的参数属性(此处为SQLcmd)。
我会告诉你与你的参数之一的例子 - 改变你的SqlCommand文字:
INSERT INTO dbo.Patients(pIDNo, ...)
VALUES(@pIDNo, ...)
哪里@pIDNo是字符串参数值,它是由单独发送的“占位符”该命令在SQLParameters collection。
然后,您可以添加一个与此“占位符”相同名称的参数,并且该值(它将从为您提供的值中派生出该类型的值)。
下面是从前面的例子中:
SQLcmd.Parameters.AddWithValue("@pIDNo", LabelPNumber.Text)
相关问题
- 1. 在Visual Basic 2008中的SQL注入
- 2. Visual Basic 2010快速写入
- 3. Visual Basic 2010
- 4. 在Visual Basic 2010
- 5. visual basic 2010中的参数
- 6. Visual Basic 2010缩放
- 7. Visual Basic 2010/Sub Procedure
- 8. Visual basic 2010错误
- 9. Visual Basic 2010 HMAC SHA1
- 10. 提示SQL Server连接到Visual Basic 2010
- 11. 的Visual Basic 2010使用。左
- 12. 的Visual Basic Studio 2010中:925的ActiveX库
- 13. Visual Basic 2010 Express - 如何在Visual Basic 2010 Express中使用excel函数
- 14. e.CloseReason与Visual Basic 2010 WPF
- 15. Visual Basic 2010数据集
- 16. Visual basic 2010任务栏组
- 17. HttpWebRequest,WebBrowser和cookie? (visual basic 2010)
- 18. 内连接在Visual Basic 2010
- 19. Visual Basic 2010 Html表格
- 20. Visual Basic 2010 Picturebox1.Image ftp upload
- 21. 二次方程Visual Basic 2010+
- 22. Visual Basic 2010 HTTP POST请求
- 23. 文本框中的Visual Basic 2010
- 24. 代码中的串口,Visual Basic 2010
- 25. Visual Basic 2010中的着色形状
- 26. 将组合框的值插入到SQL Server数据库表中Visual Basic 2010(Visual Studio 2010)
- 27. Visual Basic入门
- 28. Visual basic 2010从列表框中删除
- 29. Excel 2010中未启用宏和Visual Basic
- 30. 在visual basic 2010中添加图表
用[参数](http://msdn.microsoft.com/en-us/library/system.data.sqlclient.sqlcommand.parameters.aspx) – rene
带有参数sir rene的SELECT STATEMENT的任何示例?由其他同事指定的 – Danjor
,使用sql参数。我今天为[这个其他问题]写了一个样本(http://stackoverflow.com/a/14660347/1203135),这可能也是你的兴趣所在。 –