黑马程序员技术交流社区
标题:
参数型、拼字符串型
[打印本页]
作者:
lyz1024
时间:
2012-1-17 23:48
标题:
参数型、拼字符串型
在程序的中间层写sql语句时用
"select * from T_test where key={0}",key这个和参数型的有区别吗?可以做到防注入吗?征集一下注入语句,以求更好的防注入措施
作者:
刘少华
时间:
2012-1-18 00:01
应该使用SQL参数化查询:
cmd.CommandText = "select * from T_Users where username=@username";
cmd.Parameters.Add(new SqlParameter("username", username));
欢迎光临 黑马程序员技术交流社区 (http://bbs.itheima.com/)
黑马程序员IT技术论坛 X3.2