在我的应用程序使用的String.format()对于这样的SQL的String.Format和SQL请求
Dim strSQL As String = "SELECT X FROM MY_TABLE WHERE Y <> {0} AND Z = '{1}'"
strSQL = String.Format(strSQL, otherObj.Y, myObj.Z)
有一天,我做了使用SQL注入(带引号PARAMS一个全球性的“压力”测试,和这样的东西),并发现了很多错误...
什么是最好的方式在.NET中“打”它呢?是否有一个String.Format或其他常见的方式来正确(和安全地)在SQL查询中使用SQL参数。
你会推荐什么取代String.Format
?
的OP的代码是VB.NET,但概念应该清楚。 – 2011-03-14 17:59:01