嗨,我想知道是否有人知道一些好的网站详细说明了针对.NET Web应用程序的SQL注入的预防.任何资源都会得到很大的评价,谢谢.
我认为,如果你对'防止.NET中的SQL注入'进行谷歌搜索,你会发现很多好的资源.:)
无论如何,一个非常重要的事情是,不使用字符串连接来构建您的查询.而是使用参数化查询.ADO.NET允许以一种非常简单的方式执行此操作:
string sql = "SELECT * FROM Persons WHERE Persons.Lastname LIKE @p_Name";
SqlCommand cmd = new SqlCommand (sql);
cmd.Parameters.Add ("@p_Name", SqlDbType.Varchar).Value = textBox1.Text + "%";
京公网安备 11010802040832号 | 京ICP备19059560号-6 