A股上市公司传智教育(股票代码 003032)旗下技术交流社区北京昌平校区

 找回密码
 加入黑马

QQ登录

只需一步,快速开始

© lyz1024 黑马帝   /  2012-1-17 23:48  /  1771 人查看  /  1 人回复  /   0 人收藏 转载请遵从CC协议 禁止商业使用本文

在程序的中间层写sql语句时用
"select * from T_test where key={0}",key这个和参数型的有区别吗?可以做到防注入吗?征集一下注入语句,以求更好的防注入措施

评分

参与人数 1技术分 +1 收起 理由
朱勋 + 1

查看全部评分

1 个回复

倒序浏览
应该使用SQL参数化查询:
cmd.CommandText = "select * from T_Users where username=@username";
cmd.Parameters.Add(new SqlParameter("username", username));
回复 使用道具 举报
您需要登录后才可以回帖 登录 | 加入黑马