sql >> Database teknologi >  >> RDS >> Mysql

Løsning af problemet med SQLinjection

Brug parametre i dine forespørgsler:

// C#
SqlCommand cmd = new SqlCommand("UPDATE Products SET description = @Description WHERE id = @ID");
cmd.Parameters.AddWithValue("@Description", "something");
cmd.Parameters.AddWithValue("@ID", 123);

Og det tilsvarende i VB.net:

// VB.net
Dim cmd As New SqlCommand("UPDATE Products SET description = @Description WHERE id = @ID")
cmd.Parameters.AddWithValue("@Description", "something")
cmd.Parameters.AddWithValue("@ID", 123)


  1. MySQL Math - Er det muligt at beregne en korrelation i en forespørgsel?

  2. Oprettelse af markør med Dynamic SQL i MySQL

  3. Adgang til billedfiler

  4. Undersøger en ORA 02063 DG4ODBC-fejl