防止SqlDataAdapter中的SQL注入的最佳方法

小编典典

防止SqlDataAdapter中的SQL注入的最佳方法

sql

你好，我想知道什么是防范的最佳办法SQL injection中SqlDataAdapter（因为没有办法使用参数化查询）？

例如，让我们使用这部分代码：

da_services = new SqlDataAdapter("SELECT * from table WHERE column='" + textBox1.Text + "' AND column2='" + somestring + "'", conn);
scd_services = new SqlCommandBuilder(da_services);
dt_services = new DataTable();
da_services.Fill(dt_services);
dtg_services.DataSource = dt_services;
conn.Close();

感谢您的时间。

阅读 311

2021-04-14

共1个答案

小编典典

您可以尝试访问DataAdapter的SqlCommand对象：

da_services = new SqlDataAdapter("SELECT * from table WHERE column=@column AND column2=@column2", conn);
da_services.SelectCommand.Parameters.AddWithValue("@column", textBox1.Text);
da_services.SelectCommand.Parameters.AddWithValue("@column2", somestring);

2021-04-14