防御SQL注入攻击方法之参数化查询

SQL注入攻击指的是通过构建特殊的输入作为参数传入应用程序，而这些输入大都是SQL语法里的一些组合，通过执行SQL语句进而执行攻击者所要的操作，其主要原因是程序没有细致地过滤用户输入的数据，致使非法数据侵入系统。

在应用程序编写过程中，针对可以通过使用参数化查询+参数入例检查的方法有效防范SQL注入攻击。

以ADO.NET中的sqlcommand为例：

            string cmd_str = "DELETE FROM Employee_Infor WHERE EmployeeID =@EmployeeID";
            SqlCommand cmd = new SqlCommand(cmd_str, DB_CN);
            cmd.Parameters.AddWithValue("@EmployeeID", MainDataGridView.CurrentRow.Cells[0].Value.ToString().Trim());

通过使用@标识的命令参数，同时如果能够添加相应的参数检查代码（上段代码并未列出）可以有效的预防SQL注入攻击。

同时附上一个很不错的ADO.NET学习链接：

http://csharp-station.com/Tutorial/AdoDotNet/