我一直在读一些关于SQL注入的信息,我想确保我的代码可以说是“安全的”,我打算使用RegExp验证器来检查用户输入,但另一篇文章中建议仅使用参数化查询,以及我正在使用它们,但我想确保我的代码安全,是吗?从SQL注入安全参数插入数据库?
using (SqlConnection dataConnection = new SqlConnection(myConnectionString))
{
using (SqlCommand dataCommand = dataConnection.CreateCommand())
{
dataCommand.CommandText = "INSERT INTO Lines (Name, CreationTime) " +
"VALUES (@LineName, @CurrentDateTime)";
dataCommand.Parameters.AddWithValue("@LineName", TextBox2.Text);
dataCommand.Parameters.AddWithValue("@CurrentDateTime", DateTime.Now.ToString());
dataConnection.Open();
//do other DB stuff
我砍的最后一部分,使后较短的,剩下的只是想和捕获异常和关闭数据库连接,以及如何插入成功提供用户反馈。
如果'CreationTime'列的类型的'DateTime',你不需要'的ToString()'投。 – Cosmin 2011-03-15 18:41:21