>從SQL注入中固定您的C#申請 開發與SQL數據庫相互作用的強大C#應用程序需要對SQL注入漏洞進行強有力的防禦。 本文演示了參數化的SQL命令如何提供高效的解決方案。
> 使用>類的參數化查詢及其參數集合是防止SQL注入的基石。 這些參數處理驗證和編碼用戶輸入的關鍵任務,從而中和威脅。
讓我們檢查一個實用的例子:
SqlCommand
集合將值安全分配給
>和
private static void UpdateDemographics(Int32 customerID, string demoXml, string connectionString)
{
string commandText = "UPDATE Sales.Store SET Demographics = @demographics WHERE CustomerID = @ID;";
using (SqlConnection connection = new SqlConnection(connectionString))
{
SqlCommand command = new SqlCommand(commandText, connection);
command.Parameters.Add("@ID", SqlDbType.Int);
command.Parameters["@ID"].Value = customerID;
command.Parameters.AddWithValue("@demographics", demoXml);
try
{
connection.Open();
Int32 rowsAffected = command.ExecuteNonQuery();
Console.WriteLine("RowsAffected: {0}", rowsAffected);
}
catch (Exception ex)
{
Console.WriteLine(ex.Message);
}
}
}
Parameters>輸入驗證技術(例如使用專用文本框或輸入掩碼)可以提供額外的安全層,但它們不能代替參數化查詢。 參數化的SQL命令仍然是防止C#應用中SQL注入攻擊的最可靠和建議的方法。 他們為這種關鍵脆弱性提供了強大而一致的防禦。 @ID
以上是參數化的SQL命令如何防止C#應用中的SQL注入?的詳細內容。更多資訊請關注PHP中文網其他相關文章!
