在VB 中的SQL 指令中使用帶有「@」的參數
要使用包含特殊字元的資料更新資料庫,必須使用參數防止SQL注入漏洞。本文探討如何在 VB 中有效地利用參數。
在範例程式碼中,嘗試使用參數是不正確的。若要定義參數,請在其名稱前使用@,並使用Parameters集合的AddWithValue方法分配其值,如下所示:
MyCommand = New SqlCommand("UPDATE SeansMessage SET Message = @TicBoxText WHERE Number = 1", dbConn)
MyCommand.Parameters.AddWithValue("@TicBoxText", TicBoxText.Text)此方法建立命名參數(在本例中為@TicBoxText )並分配從文字方塊到它的值。 SQL 指令變得獨立,防止惡意使用者修改指令文字。
透過將命令定義與值分配分開,您可以確保 SQL 執行的完整性並保護資料庫免受潛在的安全風險。
以上是如何使用 VB.NET 參數安全性更新帶有特殊字元的 SQL 資料庫?的詳細內容。更多資訊請關注PHP中文網其他相關文章!
