何謂SQL Injection 按此
要避免的話據朋友分享有兩個方法
1.在網祉送出前,先用程式濾掉一些怪異的字元碼或是SQL指令
2.使用參數的方式撰寫SQL程式碼....
EX:
string sql = "SELECT * FROM xxs
WHERE username = @name AND userID = @ID";
SqlCommand cmd = new SqlCommand(sql );
cmd.Parameters.Add("name", SqlDbType.NVarChar).Value = "張三";
cmd.Parameters.Add("ID,
SqlDbType.Int).Value = 3;
沒有留言:
張貼留言