Jen

.NET 對抗 SQL Injection

之前在code behind組合sql語法,對於sql injection的prevent做的不是很好。之前都是使用.NET裏的元件,對於一些安全性的問題,.NET都幫我們做掉了。而對於這一方面我的經驗相對是比較少的,藉由這次機會,我也去google這方面的解決方式。
在.NET裏
SqlCommand sqlcmd1 = new SqlCommand ("select * from users where name='@name ' and psd='@psd'", connectionStrings["ConnectionString"].ToString());
sqlcmd1.Parameters.Add("@key", SqlDbType.NVarChar).Value = _key;
sqlcmd1.Parameters.Add("@lower", SqlDbType..NVarChar).Value = _lower;
sqlcmd1.Parameters.Add("@upper", SqlDbType..NVarChar).Value = _upper;
SqlDataAdapter sqlda = new SqlDataAdapter(sqlcmd1); 經過這樣一小段關卡,就能小避免掉sql Injection的attack喔!

0 意見: