在 VB 中利用參數保護 SQL 查詢
在 VB 中,更新 SQL 資料庫時使用參數來防止 SQL 注入攻擊非常重要。考慮以下旨在更新資料庫表的程式碼:
dbConn = New SqlConnection("server=.\SQLEXPRESS;Integrated Security=SSPI; database=FATP")
dbConn.Open()
MyCommand = New SqlCommand("UPDATE SeansMessage SET Message = '" & TicBoxText.Text & _
"'WHERE Number = 1", dbConn)
MyDataReader = MyCommand.ExecuteReader()
MyDataReader.Close()
dbConn.Close()當遇到包含單引號或雙引號等特殊字元的輸入時,此程式碼可能會崩潰。要解決此問題,您必須使用參數,特別是類似於程式語言中的變數的命名參數。
MyCommand = New SqlCommand("UPDATE SeansMessage SET Message = @TicBoxText WHERE Number = 1", dbConn)
MyCommand.Parameters.AddWithValue("@TicBoxText", TicBoxText.Text)在此程式碼中,使用「@TicBoxText」作為參數名稱,並透過「新增值。」此指令有效地變得獨立,防止使用者操縱。然後「ExecuteReader」方法就可以不受干擾地安全執行。
以上是參數如何防止 VB.NET 資料庫更新中的 SQL 注入?的詳細內容。更多資訊請關注PHP中文網其他相關文章!
