C# 参数化SQL
来源:互联网 发布:知乎 马蓉限制出境 编辑:程序博客网 时间:2024/06/06 01:19
参数化查询(Parameterized Query 或 Parameterized Statement)是指在设计与数据库链接并访问数据时,在需要填入数值或数据的地方,使用参数 (Parameter) 来给值,这个方法目前已被视为最有效可预防SQL注入攻击 (SQL Injection) 的攻击手法的防御方式。
在使用参数化查询的情况下,数据库服务器不会将参数的内容视为SQL指令的一部份来处理,而是在数据库完成 SQL 指令的编译后,才套用参数运行,因此就算参数中含有恶意的指令,由于已经编译完成,就不会被数据库所运行。(这两段摘自百度百科,http://baike.baidu.com/view/3061939.htm )
----
try{ using (var connection = new SqlConnection(PubConstant.ConnectionString)) { connection.Open(); SqlCommand command = new SqlCommand("insert into FeedbackData(username, avatar, title, location, content, datetime)" + " values(@username, @avatar, @title, @location, @content, @datetime)" ); SqlParameter parameter = null; parameter = new SqlParameter("@username", SqlDbType.NVarChar); parameter.Value = item.Username; command.Parameters.Add(parameter); parameter = new SqlParameter("@avatar", SqlDbType.NVarChar); parameter.Value = item.Avatar; command.Parameters.Add(parameter); parameter = new SqlParameter("@title", SqlDbType.NVarChar); parameter.Value = item.Title; command.Parameters.Add(parameter); parameter = new SqlParameter("@location", SqlDbType.NVarChar); parameter.Value = item.Location; command.Parameters.Add(parameter); parameter = new SqlParameter("@content", SqlDbType.NVarChar); parameter.Value = item.Content; command.Parameters.Add(parameter); parameter = new SqlParameter("@datetime", SqlDbType.DateTime); parameter.Value = item.Datetime; command.Parameters.Add(parameter); command.Connection = connection; command.ExecuteNonQuery(); connection.Close(); return true; }}catch (Exception ex){ return false;}
0 0
- C# 参数化SQL
- C# 防SQL注入,SQL参数化
- C# 使用参数化SQL语句
- C#操作WebApi(Sql参数化)
- c# sql like 参数
- c# sql like @参数
- c# sql 放进参数
- C#的SQL参数化查询 防止SQL注入
- C# asp.net 中sql like in 参数化
- C# 参数化SQL语句中的like和in
- C# SQL 语句参数化使用 like 报错
- C#中SQL语句参数写法
- C#中SQL语句参数写法
- C#中SQL语句参数写法
- c#中SQL语句参数标准写法
- C#中SQL语句的参数写法
- C# 的sql server like 的参数
- c# 查询sql 返回多个参数
- eclipse 3.x RCP代码使用e4
- c++_primer_exercise_1911_1912
- 【签名验证】支付宝即时到帐验证体系
- 09 shell基本文本处理
- 241个jquery插件—jquery插件大全
- C# 参数化SQL
- CellSpacing 和CellPadding的区别
- Android的数据存储--SD卡
- Python之简单的图像处理
- fopen与读写的标识r,r+,rb+,rt+,w+.....
- fatal error LNK1103: debugging information corrupt; recompile module
- 10 shell流编辑sed
- EJB 标注那些事
- 行内块级元素的兼容性