正如标题所说,如果我使用SQL参数,即使用SQL参数绑定意味着文本是否可以直接从输入中输入?
SQLCommand cmd = new SQLCommand("select * from users where username = @user and password = @pass limit 1", Cxn);
cmd.Parameters.Add("@user", SqlDbType.VarChar):
cmd.Parameters.Add("@pass", SqlDbType.VarChar):
我可以只输入参数值从输入直接进入?
cmd.Parameters["@user"].value = txtBxUserName.text;
cmd.Parameters["@pass"].value = txtBxPassword.text;
那就是似乎whenver你找什么关系转义字符串等被提出,最终答案是,只是让参数绑定做到这一点。但是这样可以防止注入攻击等?或者你还需要执行一些服务器端验证?
从很大程度上导向PHP后台它违背了我身体的每一个纤维直接输入文本查询产品:P
使用参数化查询是** any **语言中最安全的方法。 – Bobby 2010-07-01 08:37:53