ADO.NET SQL コマンドのパラメータを効果的に使用して SQL インジェクションを防ぐにはどうすればよいですか?

ADO.NET SQL コマンドのパラメーター

データベースを変更する SQL コマンドを作成する場合、パラメーターを使用して、挿入または更新される特定の値。このアプローチは、SQL インジェクション攻撃を防止し、コードをより読みやすく保守しやすくするのに役立ちます。

パラメーターが役立つ例の 1 つは、データベース テーブルにレコードを追加する場合です。次のようなコマンドがあるとします。

SqlCommand comand = new SqlCommand("INSERT INTO Product_table Values(@Product_Name,@Product_Price,@Product_Profit,@p)", connect);

パラメータの実際の値を指定するには、それらの値をコマンドの Parameters コレクションに追加する必要があります。これを行う最も簡単な方法は、SqlParameter オブジェクトを作成することです:

SqlParameter ppar = new SqlParameter();
ppar.ParameterName = "@Product_Name";
ppar.Value = textBox1.Text;

ただし、このアプローチにはいくつかの制限があります。代わりに、各パラメータのデータ型を指定するより明示的な方法を使用することをお勧めします。

cmd.Parameters.Add("@Product_Name", SqlDbType.NVarChar, ProductNameSizeHere).Value = txtProductName.Text;
cmd.Parameters.Add("@Product_Price", SqlDbType.Int).Value = txtProductPrice.Text;

これにより、データベースは各値の正確なデータ型を認識し、それに応じて処理できるようになります。

パラメータを追加するために AddWithValue メソッドを使用しないことが重要であることに注意してください。この理由の詳細については、次の記事を参照してください: https://blogs.msmvps.com/jcoehoorn/blog/2014/05/12/can-we-stop-using-addwithvalue-already/

さらに、データを挿入するときは、次のように SQL ステートメントで列名を明示的に指定することをお勧めします。 https://www.w3schools.com/sql/sql_insert.asp

以上がADO.NET SQL コマンドのパラメータを効果的に使用して SQL インジェクションを防ぐにはどうすればよいですか?の詳細内容です。詳細については、PHP 中国語 Web サイトの他の関連記事を参照してください。