MS SqlServer参数化

nian203344 2010-09-26 11:27:38
/// <summary>
/// 根据类别获得随机数据列表
/// </summary>
public DataSet GetList(int count, string pids, string sex)
{
StringBuilder strSql = new StringBuilder();
SqlParameter[] arrParam;
strSql.Append("select top " + @count + " * from products");

if (pids != string.Empty && pids != "0")
strSql.Append(" where producttype_id in( " + @pids + ")");

strSql.Append(" order by newid()");

arrParam = new SqlParameter[]
{
new SqlParameter("@count",count),
new SqlParameter("@pids",pids)
};

return SqlHelper.ExecuteDataset(CommandType.Text, strSql.ToString(), arrParam);
}
为了防止注入用参数化这样做和直接拼SQL有区别吗?能达到防止注入的效果么?SqlParameter到底做了些什么?
...全文
41 点赞 收藏 2
写回复
2 条回复
切换为时间正序
当前发帖距今超过3年,不再开放新的回复
发表回复
dawugui 2010-09-26
SQL注入专题
http://topic.csdn.net/u/20081205/09/3dd06076-bcbe-45d4-998c-8999fdbe6fae.html
回复
hao1hao2hao3 2010-09-26
防注入可以在前台用脚本做一些特殊字符的过滤处理。
回复
相关推荐
发帖
疑难问题
创建于2007-09-28

2.1w+

社区成员

MS-SQL Server 疑难问题
申请成为版主
帖子事件
创建了帖子
2010-09-26 11:27
社区公告
暂无公告