作者twoseven (Tse)
看板Database
标题Re: [SQL ] 请问要怎麽改,才能够避免1=1的攻击?
时间Thu Dec 22 17:38:43 2011
用参数
※ 引述《kevin888 (kevin)》之铭言:
: 因为最近在写SQL
: 看网路上有资料隐码攻击的文章
: 请问我该怎麽改会比较好?
: 我附上本来的程式码 谢谢各位
: strCom = " SELECT * FROM Table1 WHERE name='"+textBox1.Text.ToString()+"'";
strCom = " SELECT * FROM Table1 WHERE name=@name";
: myConn = new SqlConnection(strCon);
: dt = new DataTable();
: myConn.Open();
: myCommand = new SqlDataAdapter(strCom, myConn);
加上这段
myCommand.SelectCommand.Parameters.Add("@name", SqlDbType.VarChar).Value =
textBox1.text;
: myCommand.Fill(dt);
: dataGridView1.DataSource = dt;
: myConn.Close();
--
※ 发信站: 批踢踢实业坊(ptt.cc)
◆ From: 122.117.41.57
※ 编辑: twoseven 来自: 122.117.41.57 (12/22 17:39)
1F:→ kevin888:感谢你的帮忙 我赶紧去测试看看 12/22 17:45
2F:推 musie:加个 ' ' 好了... 12/22 17:50