Menggunakan Parameter dalam Perintah SQL dengan VB
Dalam Visual Basic (VB), menggunakan parameter dalam arahan SQL adalah penting untuk mengelakkan kelemahan keselamatan. Pertimbangkan senario di mana anda perlu mengemas kini pangkalan data SQL menggunakan data daripada kotak teks. Contoh kod awal berikut cuba melakukan ini:
dbConn = New SqlConnection("server=.\SQLEXPRESS;Integrated Security=SSPI; database=FATP")
dbConn.Open()
MyCommand = New SqlCommand("UPDATE SeansMessage SET Message = '" & TicBoxText.Text & "'WHERE Number = 1", dbConn)
MyDataReader = MyCommand.ExecuteReader()
MyDataReader.Close()
dbConn.Close()Apabila kotak teks mengandungi aksara seperti petikan tunggal atau koma, kod ini akan ranap. Untuk menangani perkara ini, anda boleh menggunakan parameter bernama seperti berikut:
MyCommand = New SqlCommand("UPDATE SeansMessage SET Message = @TicBoxText WHERE Number = 1", dbConn)
MyCommand.Parameters.AddWithValue("@TicBoxText", TicBoxText.Text)Parameter berkelakuan seperti pembolehubah dalam bahasa pengaturcaraan. Anda menentukannya dalam arahan SQL anda dan kemudian menetapkan nilainya dalam program VB anda. Dalam kes ini, @TicBoxText menjadi pemegang tempat untuk teks kotak teks dan AddWithValue memberikan nilainya. Perintah SQL serba lengkap ini menghalang pengguna daripada mengeksploitasi kod dengan menyuntik arahan berniat jahat.
Dengan menggunakan parameter dengan betul, anda boleh melindungi pangkalan data SQL anda daripada serangan suntikan SQL dan memastikan integriti data anda.
Atas ialah kandungan terperinci Bagaimanakah Parameter VB.NET Boleh Menghalang Kerentanan Suntikan SQL Semasa Mengemas kini Pangkalan Data?. Untuk maklumat lanjut, sila ikut artikel berkaitan lain di laman web China PHP!
![[Web front-end] Permulaan pantas Node.js](https://img.php.cn/upload/course/000/000/067/662b5d34ba7c0227.png)
