这样能防止注入式攻击吗
oydj 2007-06-27 03:26:50 cmd.CommandText = "select username from log where username=@username and id=" + int.Parse(id) ;
cmd.Parameters.Add(new SqlParameter("@username",SqlDbType.VarChar,16));
cmd.Parameters["@username"].Value=user;
id这个参数因为只能限制是数字,不存在安全性问题所以直接字符串拼贴,而username这个是用Parameters,也就是说是混合型.
请问这样能防止注入吗?
还有求一个完善的防注入过滤函数.