Heim >Datenbank >MySQL-Tutorial >Wie kann ich Parameter sicher zu ADO.NET-Befehlen hinzufügen, um SQL-Injection zu verhindern?

Wie kann ich Parameter sicher zu ADO.NET-Befehlen hinzufügen, um SQL-Injection zu verhindern?

Barbara Streisand
Barbara StreisandOriginal
2025-01-01 01:09:09304Durchsuche

How Can I Safely Add Parameters to ADO.NET Commands to Prevent SQL Injection?

Hinzufügen von Parametern zu ADO.NET-Befehlen

Beim Erstellen von ADO.NET-Befehlen, die Daten ändern, ist es wichtig, Parameter zu verwenden, um SQL zu verhindern Injektionsangriffe abwehren und die Leistung verbessern. Betrachten Sie den folgenden Beispielcode:

SqlCommand command = new SqlCommand("INSERT INTO Product_table Values(@Product_Name,@Product_Price,@Product_Profit,@p)", connect);

Dieser Code versucht, mithilfe von Parametern Werte in eine Datenbanktabelle einzufügen. Die Parameter werden jedoch nicht korrekt definiert.

Lösung:

Der richtige Ansatz besteht darin, jeden Parameter explizit mit seinem Namen, Datentyp und Wert zu definieren folgt:

SqlCommand cmd = new SqlCommand("INSERT INTO Product_table (Product_Name, Product_Price, Product_Profit, p) " +
                              "Values (@Product_Name, @Product_Price, @Product_Profit, @p)", connect);

cmd.Parameters.Add("@Product_Name", SqlDbType.NVarChar, ProductNameSizeHere).Value = txtProductName.Text;
cmd.Parameters.Add("@Product_Price", SqlDbType.Int).Value = txtProductPrice.Text;
cmd.Parameters.Add("@Product_Profit", SqlDbType.Int).Value = txtProductProfit.Text;
cmd.Parameters.Add("@p", SqlDbType.NVarChar, PSizeHere).Value = txtP.Text;

cmd.ExecuteNonQuery();

Zusätzliche Überlegungen:

  • Vermeiden Verwenden Sie AddWithValue, da dies zu potenziellen Leistungsproblemen führen kann.
  • Geben Sie die Namen der Werte explizit in der INSERT-Anweisung an, wie im Codebeispiel gezeigt.
  • Stellen Sie sicher, dass die Datentypen der Parameter übereinstimmen die Datentypen der entsprechenden Spalten in der Datenbanktabelle.

Das obige ist der detaillierte Inhalt vonWie kann ich Parameter sicher zu ADO.NET-Befehlen hinzufügen, um SQL-Injection zu verhindern?. Für weitere Informationen folgen Sie bitte anderen verwandten Artikeln auf der PHP chinesischen Website!

Stellungnahme:
Der Inhalt dieses Artikels wird freiwillig von Internetnutzern beigesteuert und das Urheberrecht liegt beim ursprünglichen Autor. Diese Website übernimmt keine entsprechende rechtliche Verantwortung. Wenn Sie Inhalte finden, bei denen der Verdacht eines Plagiats oder einer Rechtsverletzung besteht, wenden Sie sich bitte an admin@php.cn