如何防止sql注入转义字符串?

内容来源于 Stack Overflow,并遵循CC BY-SA 3.0许可协议进行翻译与使用

  • 回答 (2)
  • 关注 (0)
  • 查看 (92)

我有一些查询(对acccess数据库)像这样:

string comando = "SELECT * FROM ANAGRAFICA WHERE E_MAIL='" + user + "' AND PASSWORD_AZIENDA='" + password + "'";

我想“escape"”用户和密码,防止注入。

我怎样才能用C#和.NET 3.5做到这一点?

提问于
用户回答回答于

你需要使用参数。

SqlParameter[] myparm = new SqlParameter[2];
myparm[0] = new SqlParameter("@User",user);
myparm[1] = new SqlParameter("@Pass",password);

string comando = "SELECT * FROM ANAGRAFICA WHERE E_MAIL=@User AND PASSWORD_AZIENDA=@Pass";
用户回答回答于

扫码关注云+社区

领取腾讯云代金券