Comment les paramètres peuvent-ils empêcher l'injection SQL dans les mises à jour de la base de données VB.NET ?

Utilisation des paramètres pour protéger les requêtes SQL en VB

En VB, il est essentiel d'utiliser des paramètres lors de la mise à jour des bases de données SQL pour éviter les attaques par injection SQL . Considérez le code suivant visant à mettre à jour une table de base de données :

dbConn = New SqlConnection("server=.\SQLEXPRESS;Integrated Security=SSPI; database=FATP")
    dbConn.Open()

    MyCommand = New SqlCommand("UPDATE SeansMessage SET Message = '" & TicBoxText.Text & _
                                            "'WHERE Number = 1", dbConn)

    MyDataReader = MyCommand.ExecuteReader()
    MyDataReader.Close()
    dbConn.Close()

Lorsqu'il est confronté à une entrée contenant des caractères spéciaux comme des guillemets simples ou doubles, ce code peut planter. Pour résoudre ce problème, vous devez utiliser des paramètres, spécifiquement nommés paramètres qui ressemblent à des variables dans les langages de programmation.

MyCommand = New SqlCommand("UPDATE SeansMessage SET Message = @TicBoxText WHERE Number = 1", dbConn)
MyCommand.Parameters.AddWithValue("@TicBoxText", TicBoxText.Text)

Dans ce code, "@TicBoxText" est utilisé comme nom de paramètre et la valeur est fournie via " AjouterAvecValeur." La commande devient effectivement autonome, la protégeant de toute manipulation de l'utilisateur. La méthode "ExecuteReader" peut alors être exécutée en toute sécurité et sans interférence.

Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!