SQL 주입을 방지하기 위해 ADO.NET 명령에 매개변수를 안전하게 추가하려면 어떻게 해야 합니까?

ADO.NET 명령에 매개변수 추가

데이터를 수정하는 ADO.NET 명령을 구성할 때 SQL 방지를 위해 매개변수를 활용하는 것이 중요합니다. 주입 공격 및 성능 향상. 다음 샘플 코드를 고려해 보세요.

SqlCommand command = new SqlCommand("INSERT INTO Product_table Values(@Product_Name,@Product_Price,@Product_Profit,@p)", connect);

이 코드는 매개변수를 사용하여 데이터베이스 테이블에 값을 삽입하려고 시도합니다. 그러나 매개변수를 올바르게 정의하지 않습니다.

해결책:

올바른 접근 방식은 다음과 같이 이름, 데이터 유형 및 값을 사용하여 각 매개변수를 명시적으로 정의하는 것입니다. 다음:

SqlCommand cmd = new SqlCommand("INSERT INTO Product_table (Product_Name, Product_Price, Product_Profit, p) " +
                              "Values (@Product_Name, @Product_Price, @Product_Profit, @p)", connect);

cmd.Parameters.Add("@Product_Name", SqlDbType.NVarChar, ProductNameSizeHere).Value = txtProductName.Text;
cmd.Parameters.Add("@Product_Price", SqlDbType.Int).Value = txtProductPrice.Text;
cmd.Parameters.Add("@Product_Profit", SqlDbType.Int).Value = txtProductProfit.Text;
cmd.Parameters.Add("@p", SqlDbType.NVarChar, PSizeHere).Value = txtP.Text;

cmd.ExecuteNonQuery();

추가 고려 사항:

• 잠재적인 성능 문제가 발생할 수 있으므로 AddWithValue를 사용하지 마세요.
• 코드 샘플에 표시된 대로 INSERT 문에 값 이름을 명시적으로 지정하세요. .
• 매개변수의 데이터 유형이 데이터베이스에 있는 해당 열의 데이터 유형과 일치하는지 확인하세요. 테이블.

위 내용은 SQL 주입을 방지하기 위해 ADO.NET 명령에 매개변수를 안전하게 추가하려면 어떻게 해야 합니까?의 상세 내용입니다. 자세한 내용은 PHP 중국어 웹사이트의 기타 관련 기사를 참조하세요!