簡體 English 中英

安全string.Format對象C＃

[英]Secure string.Format object C#

原文 2015-02-23 18:19:52 6 1 c#/ sql/ asp.net/ security

我一段時間以來第一次使用C＃工作，我有一行這樣的代碼。

SQL = string.Format("PageName = '{0}'", bp.CommandArgument);

我需要知道如何從任何SQL注入中保護對象“ bp.CommandArgument”。 謝謝。

1 個解決方案

為什么不使用sql參數？

string commandTxt = "SELECT ... FROM ... WHERE PageName=@PageName";
var command = new SqlCommand(commandTxt, connection);
command.Parameters.Add("@PageName", bp.CommandArgument);

我假設connection是您已聲明的SqlConnection對象。

C＃中的String.Format

[英]String.Format in C#

對象args之前帶有'+'的C＃string.Format

[英]C# string.Format with a '+' before object args

C＃String.Format（）格式控件

[英]The C# String.Format() Format Controls

Ruby等效於C＃string.Format

[英]Ruby equivalent of C# string.Format

無法在C＃中使用String.Format

[英]Failing to use String.Format in C#

在C＃中去霧化string.format

[英]Demistify string.format in C#

C＃中雙引號中的String.Format

[英]String.Format in Double Quotes in C#

帶有'{'字符的C＃String.Format

[英]C# String.Format with '{' character

C＃String.Format args

[英]C# String.Format args

String.Format參數OUT c＃

[英]String.Format parameters OUT c#

暫無

暫無

聲明:本站的技術帖子網頁，遵循CC BY-SA 4.0協議，如果您需要轉載，請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.

相關問題 C＃中的String.Format 對象args之前帶有'+'的C＃string.Format C＃String.Format（）格式控件 Ruby等效於C＃string.Format 無法在C＃中使用String.Format 在C＃中去霧化string.format C＃中雙引號中的String.Format 帶有'{'字符的C＃String.Format C＃String.Format args String.Format參數OUT c＃

相關標簽

粵ICP備18138465號 © 2020-2024 STACKOOM.COM