VB.NET パラメータはデータベース更新時の SQL インジェクション脆弱性をどのように防ぐことができますか?

VB での SQL コマンドでのパラメーターの使用

Visual Basic (VB) では、SQL コマンドでパラメーターを使用することは、セキュリティの脆弱性を防ぐために非常に重要です。テキストボックスのデータを使用して SQL データベースを更新する必要があるシナリオを考えてみましょう。次の最初のコード サンプルは、これを実行しようとします。

dbConn = New SqlConnection("server=.\SQLEXPRESS;Integrated Security=SSPI; database=FATP")
dbConn.Open()

MyCommand = New SqlCommand("UPDATE SeansMessage SET Message = '" & TicBoxText.Text & "'WHERE Number = 1", dbConn)

MyDataReader = MyCommand.ExecuteReader()
MyDataReader.Close()
dbConn.Close()

テキスト ボックスに一重引用符やカンマなどの文字が含まれている場合、このコードはクラッシュします。これに対処するには、次のように名前付きパラメータを使用します。

MyCommand = New SqlCommand("UPDATE SeansMessage SET Message = @TicBoxText WHERE Number = 1", dbConn)
MyCommand.Parameters.AddWithValue("@TicBoxText", TicBoxText.Text)

パラメータは、プログラミング言語の変数のように動作します。 SQL コマンドでそれらを指定し、VB プログラムでそれらの値を割り当てます。この場合、@TicBoxText はテキストボックス テキストのプレースホルダーとなり、AddWithValue によってその値が割り当てられます。この自己完結型 SQL コマンドは、ユーザーが悪意のあるコマンドを挿入してコードを悪用することを防ぎます。

パラメーターを正しく使用することで、SQL データベースを SQL インジェクション攻撃から保護し、データの整合性を確保できます。

以上がVB.NET パラメータはデータベース更新時の SQL インジェクション脆弱性をどのように防ぐことができますか?の詳細内容です。詳細については、PHP 中国語 Web サイトの他の関連記事を参照してください。