62,267
社区成员
发帖
与我相关
我的任务
分享!!!!!!*****防sql注入的问题********!!!!!!!!!!!
sql注入是不是只针对与查询? 我最近做个网站, 对高级查询做了防sql注入! 大家给点意见
...全文
请发表友善的回复…
发表回复
liu4545533 2009-03-25
- 打赏
- 举报
使用参数化的sql语句就可以啦
xz_xq 2009-03-25
- 打赏
- 举报
使用传参数的方式执行SQL语句
wangzhenyue 2009-03-25
- 打赏
- 举报
存储过程
正则
正则
金大哈 2009-03-25
- 打赏
- 举报
我提一种不行的
sql = "select * from aa where id ='+ request.querystring["xx"]+'"
sql = "select * from aa where id ='+ request.querystring["xx"]+'"
benbirdar 2009-03-25
- 打赏
- 举报
把用户输入的条件传递给参数SqlParameter即可
给你的参考代码:
给你的参考代码:
SqlConnection conn=new SqlConnection
(System.Configuration.ConfigurationSettings.AppSettings["conn"]);
SqlCommand comm=new SqlCommand("update tb1 set vName=@vName,
iAge=@iAge where ID=@id",conn);
SqlParameter parm1=new SqlParameter("@vName",SqlDbType.NVarChar,50);
parm1.Value=((TextBox)e.Item.FindControl("name")).Text;
SqlParameter parm2=new SqlParameter("@iAge",SqlDbType.Int);
parm2.Value=((TextBox)e.Item.FindControl("age")).Text;
SqlParameter parm3=new SqlParameter("@id",SqlDbType.Int);
parm3.Value=this.DataGrid1.DataKeys[e.Item.ItemIndex];
comm.Parameters.Add(parm1);
comm.Parameters.Add(parm2);
comm.Parameters.Add(parm3);
conn.Open();
comm.ExecuteNonQuery();
conn.Close();
zpcoder 2009-03-25
- 打赏
- 举报
最简单又最好用的方法就是用 存储过程
hyy567 2009-03-25
- 打赏
- 举报
1.用存储过程.
2.过率关键字.
2.过率关键字.
