作者b8888 (b8888)
看板Visual_Basic
标题[ASP ] SqlDataSource 的sqlinject
时间Thu Jan 17 21:04:11 2013
各位大大好,小弟写了一个程式
有一个 SqlDataSource 及 textbox 及button
我想做做一个查询系统(用sql 的like去做)
目前执行是OK的-->依照精灵的做法可以抓到全部资料
但做到查询时,却有一点问题,程式码如下:
但是却发现它的写有sql inject 的问题,
请问它该如何避免??(除了用程式去判断外)
是否有类似
Dim sqlPara As New SqlParameter()
程式如下:
SqlDataSource1.SelectParameters.Clear()
SqlDataSource1.SelectCommand = "SELECT * FROM [class_tb] where
class_nm like '%" & TextBox1.Text & "%'"
GridView1.DataSourceID = "SqlDataSource1"
--
※ 发信站: 批踢踢实业坊(ptt.cc)
◆ From: 114.40.194.151
1F:推 brian90191:不要拉sqldatasource了吧 ,自己SqlParameters来做查询 01/17 21:33
2F:推 fumizuki:datasource 可以设定参数啊 为什麽还要自己拼语法... 01/17 23:30
3F:→ fumizuki:而且为何还刻意清空参数 01/17 23:32
4F:→ fumizuki:如果要用like的话可以改成 charindex(@p1, class_nm)>0 01/17 23:33