Comment puis-je ajouter en toute sécurité des paramètres aux commandes ADO.NET pour empêcher l'injection SQL ?

Ajout de paramètres aux commandes ADO.NET

Lors de la construction de commandes ADO.NET qui modifient des données, il est crucial d'utiliser des paramètres pour empêcher SQL attaques par injection et améliorer les performances. Considérez l'exemple de code suivant :

SqlCommand command = new SqlCommand("INSERT INTO Product_table Values(@Product_Name,@Product_Price,@Product_Profit,@p)", connect);

Ce code tente d'insérer des valeurs dans une table de base de données à l'aide de paramètres. Cependant, il ne définit pas correctement les paramètres.

Solution :

L'approche correcte consiste à définir explicitement chaque paramètre avec son nom, son type de données et sa valeur, comme suit :

SqlCommand cmd = new SqlCommand("INSERT INTO Product_table (Product_Name, Product_Price, Product_Profit, p) " +
                              "Values (@Product_Name, @Product_Price, @Product_Profit, @p)", connect);

cmd.Parameters.Add("@Product_Name", SqlDbType.NVarChar, ProductNameSizeHere).Value = txtProductName.Text;
cmd.Parameters.Add("@Product_Price", SqlDbType.Int).Value = txtProductPrice.Text;
cmd.Parameters.Add("@Product_Profit", SqlDbType.Int).Value = txtProductProfit.Text;
cmd.Parameters.Add("@p", SqlDbType.NVarChar, PSizeHere).Value = txtP.Text;

cmd.ExecuteNonQuery();

Supplémentaire Considérations :

• Évitez d'utiliser AddWithValue car cela peut entraîner des problèmes de performances potentiels.
• Spécifiez explicitement les noms des valeurs dans l'instruction INSERT, comme indiqué dans l'exemple de code. .
• Assurez-vous que les types de données des paramètres correspondent aux types de données des colonnes correspondantes dans la table de base de données.

Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!