Mysql
 sql >> база данни >  >> RDS >> Mysql

Решаване на проблема с SQLinjection

Използвайте параметри във вашите заявки:

// C#
SqlCommand cmd = new SqlCommand("UPDATE Products SET description = @Description WHERE id = @ID");
cmd.Parameters.AddWithValue("@Description", "something");
cmd.Parameters.AddWithValue("@ID", 123);

И еквивалентът във VB.net:

// VB.net
Dim cmd As New SqlCommand("UPDATE Products SET description = @Description WHERE id = @ID")
cmd.Parameters.AddWithValue("@Description", "something")
cmd.Parameters.AddWithValue("@ID", 123)


  1. Database
  2.   
  3. Mysql
  4.   
  5. Oracle
  6.   
  7. Sqlserver
  8.   
  9. PostgreSQL
  10.   
  11. Access
  12.   
  13. SQLite
  14.   
  15. MariaDB
  1. SQL Вмъкване на данни от множество таблици в различна база данни

  2. Как да създадете индекс в MySQL

  3. Предпочитан метод за материализирани изгледи (обобщени таблици) с MySQL

  4. MYSQL изберете общи приятели

  5. PDO грешка:Невалиден номер на параметър:параметърът не е дефиниран