C#里,防止sql注入."select * form tb where id= "" + ID +"";" 要如何改写?
发布网友
发布时间:2022-04-09 21:36
共3个回答
热心网友
时间:2022-04-09 23:06
如果你的ID是int类型那么是安全的,但如果你的ID是string类型, 就不安全, 比如我将 ID 写为:
2 ' or 1=1 '
那么你的sql语句就成了:
"select * form tb where id='2' or 1=1 ''";
这样肯定是能查询到的
所以我们需要对用户输入进行验证,一般的处理方式是将用户输入的单引号换成中文的单引号
热心网友
时间:2022-04-10 00:24
这句代码的作用就是,连接到指定的数据库,并删除数据表tb_WordResume中Sut_ID为文本框控件S_0输入值的数据。
热心网友
时间:2022-04-10 01:58
改进方法 如果是通过text输入,你要做个处理 把'改为'' 即 text.Replace("'", "''");
