[英]Secure string.Format object C#
我一段時間以來第一次使用C#工作,我有一行這樣的代碼。
SQL = string.Format("PageName = '{0}'", bp.CommandArgument);
我需要知道如何從任何SQL注入中保護對象“ bp.CommandArgument”。 謝謝。
為什么不使用sql參數?
string commandTxt = "SELECT ... FROM ... WHERE PageName=@PageName";
var command = new SqlCommand(commandTxt, connection);
command.Parameters.Add("@PageName", bp.CommandArgument);
我假設connection
是您已聲明的SqlConnection
對象。
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.