关于SQL注入的有关问题
关于SQL注入的问题
我在网上查了很多关于SQL注入方面的问题,不知道各位有没有什么好的解决方案?
我之前用的ef,根本就不担心sql注入,但是最近一个项目不用ef,就比较纠结sql注入方面的问题了,之前做的很多都对sql注入有很郁闷的东西。
求各位的解决方案
------解决思路----------------------
SQL注入
最常见的处理方式 就是 要使用SQL传参。
如果拼SQL语句, 处理一下敏感字符
------解决思路----------------------
EF也只是SQL参数化了而已
不用EF你自己也可以通过SqlParamter来声明参数的
------解决思路----------------------
通过参数传递:
string sql = "select count(*) from zhuce where username=@username and pwd=@pwd and type = @type";
SqlConnection conn = new SqlConnection(Common.Context.SqlManager.CONN_STRING);
conn.Open();
SqlCommand cmd = new SqlCommand(sql, conn);
cmd.Parameters.Add("@username",SqlDbType.VarChar,30);
cmd.Parameters.Add("@pwd",SqlDbType.VarChar,30);
cmd.Parameters.Add("@type",SqlDbType.VarChar,10);
cmd.Parameters["@username"].Value = username;
cmd.Parameters["@pwd"].Value = pwd;
cmd.Parameters["@type"].Value = power.Text;
int count = Convert.ToInt32(cmd.ExecuteScalar());
conn.Close();
我在网上查了很多关于SQL注入方面的问题,不知道各位有没有什么好的解决方案?
我之前用的ef,根本就不担心sql注入,但是最近一个项目不用ef,就比较纠结sql注入方面的问题了,之前做的很多都对sql注入有很郁闷的东西。
求各位的解决方案
------解决思路----------------------
SQL注入
最常见的处理方式 就是 要使用SQL传参。
如果拼SQL语句, 处理一下敏感字符
------解决思路----------------------
EF也只是SQL参数化了而已
不用EF你自己也可以通过SqlParamter来声明参数的
------解决思路----------------------
通过参数传递:
string sql = "select count(*) from zhuce where username=@username and pwd=@pwd and type = @type";
SqlConnection conn = new SqlConnection(Common.Context.SqlManager.CONN_STRING);
conn.Open();
SqlCommand cmd = new SqlCommand(sql, conn);
cmd.Parameters.Add("@username",SqlDbType.VarChar,30);
cmd.Parameters.Add("@pwd",SqlDbType.VarChar,30);
cmd.Parameters.Add("@type",SqlDbType.VarChar,10);
cmd.Parameters["@username"].Value = username;
cmd.Parameters["@pwd"].Value = pwd;
cmd.Parameters["@type"].Value = power.Text;
int count = Convert.ToInt32(cmd.ExecuteScalar());
conn.Close();