1
SELECT verlog.bearerid, detail.snum
FROM verlog
INNER JOIN detail
ON verlog.txnid = detail.txnid
WHERE verlog.bearerid ='"+ TextBox1.Text +"'
这是正确的方式来获取文本框的值并在where子句中使用它?文本框的值在哪里子句
A
回答
1
通过以这种方式构建语句,您可以打开自己高达SQL injection的攻击,其中用户可能能够针对您的数据库运行额外的sql。
您可以通过使用参数化的sql来防止这种情况发生。然后在执行时传递查询和参数。
SELECT verlog.bearerid, detail.snum
FROM verlog
INNER JOIN detail
ON verlog.txnid = detail.txnid
WHERE verlog.bearerid = @bearerid
进一步的细节可以在这里阅读:http://www.csharp-station.com/Tutorial/AdoDotNet/lesson06
或者您可以使用一个ORM将处理这个给你。
1
我细分,不要像你提到的那样编写脚本;这将为注入铺平道路。如果不使用任何ORM技术(例如实体框架又反过来要求自己的安全问题),则始终坚持参数化ado.net查询。看看this link
相关问题
- 1. 如何使用子列中的列值在哪里子句
- 2. 从哪里where子句
- 3. 文本框句子问题
- 4. 动态LINQ倍数在哪里子句
- 5. LINQ to SQL查询在哪里子句
- 6. ActiveAndroid在哪里与“in”子句
- 7. PHP中的哪里子句ARRAY - MongoDB
- 8. 的MySQL在那里与空子句值
- 9. flash cs3中的文档类文本框在哪里?
- 10. 哪里子句少于/大于加入
- 11. sql case语句在哪里?
- 12. SQL:动态哪里子句使用IN语句死于NULL值的记录
- 13. 使用if-else子句更改文本框值失败
- 14. MySQL的使用具有和在哪里子句
- 15. 动态MySQL在哪里子句在存储过程
- 16. 动态列与在哪里子句在php mysql
- 17. 不知道在哪里把where子句在codeigniter
- 18. 的JavaScript放在哪里var语句
- 19. 如何使文本框中输入的值出现在句子中?
- 20. MessageUI框架在哪里?
- 21. web框架webwork在哪里?
- 22. 离子获取文本框的值
- 23. Drupal 7:页脚文本在哪里
- 24. Ahhhhh!子表在哪里去?
- 25. css:文本框的白色背景边界来自哪里?
- 26. 我应该在哪里放置WHERE子句
- 27. C#LinqToSql生成动态在哪里子句
- 28. 我在哪里可以翻译wordpress句子/单词?
- 29. SQL存储过程未知在哪里子句
- 30. 文本框的值在JSP
仍然无法工作似乎无法检索来自verlog的数据。 – JD1919 2015-02-10 17:33:55
请显示完整的代码...它不清楚上下文 - 如果这是C#它不会编译,如果这是一个存储过程,它会给出一个错误。这是什么? – Hogan 2015-02-10 18:17:15
还记得考虑SQL注入攻击。那里正好可以让人们做一些讨厌的东西。 – 2015-02-10 19:48:36