Asp.net SQL注入与Microsoft数据访问应用程序块SQL帮助程序类
我正在使用Microsoft helper类() 我使用此方法在表中插入数据:Asp.net SQL注入与Microsoft数据访问应用程序块SQL帮助程序类,asp.net,c#-2.0,sql-injection,Asp.net,C# 2.0,Sql Injection,我正在使用Microsoft helper类() 我使用此方法在表中插入数据: string query = @"INSERT INTO table(col1, col2) Values(@val1, @val2)"; SqlParameter[] param = new SqlParameter[2]; param[0] = new SqlParameter("@val1", "abc"); param[1] = new SqlParameter("@val2", 123); int rows
string query = @"INSERT INTO table(col1, col2) Values(@val1, @val2)";
SqlParameter[] param = new SqlParameter[2];
param[0] = new SqlParameter("@val1", "abc");
param[1] = new SqlParameter("@val2", 123);
int rows = SqlHelper.ExecuteNonQuery(DataAccess.ConnectionString, CommandType.Text, query, param);
我想知道,使用这种方式(如SQL注入等)是否存在任何安全风险?您发布的代码很好,并且对SQL命令的所有可变组件使用参数,因此它不会受到SQL注入攻击。您发布的代码很好,并且对SQL命令的所有可变组件使用参数,因此它不受SQL注入攻击。为了让它更好,请使用
const
关键字并放弃@
,这样您就可以使用const-string query=“INSERT-INTO-table(col1,col2)值(@val1,@val2)”代码>那么,您正在使用.NET2.0?是的。在一些网站上,我也在使用.net 4.0。为了让它更好,请使用const
关键字并放弃@
,这样您就可以使用const string query=“INSERT INTO table(col1,col2)值(@val1,@val2)”代码>那么,您正在使用.NET2.0?是的。在一些网站上,我也在使用.NET4.0。