Command.Parameters.Add() 已弃用:在 MySQL 查询注入中使用 AddWithValue()
Command.Parameters.Add 的用法出于安全原因,MySQL 查询中的 () 已被弃用。为了确保查询注入安全,建议使用 AddWithValue() 方法。
以下是如何更新代码以使用 AddWithValue():
通过使用 AddWithValue() ,您消除了在查询中包含特殊字符或恶意 SQL 命令的风险,从而防止 SQL 注入攻击。
原始 SQL 查询,它包装了带单引号的占位符也是一个安全漏洞。 MySQL 中 SQL 查询的正确格式是对字段和表名称使用反引号 (`) 而不是单引号。因此,更新后的 SQL 查询应如下所示:
以上是为什么在 MySQL 中防止 SQL 注入时首选'AddWithValue()”而不是'Add()”?的详细内容。更多信息请关注PHP中文网其他相关文章!
