Bagaimanakah Saya Boleh Menambah Parameter dengan Selamat pada Perintah ADO.NET untuk Mencegah Suntikan SQL?

Menambah Parameter pada Perintah ADO.NET

Apabila membina arahan ADO.NET yang mengubah suai data, adalah penting untuk menggunakan parameter untuk menghalang SQL serangan suntikan dan meningkatkan prestasi. Pertimbangkan contoh kod berikut:

SqlCommand command = new SqlCommand("INSERT INTO Product_table Values(@Product_Name,@Product_Price,@Product_Profit,@p)", connect);

Kod ini cuba memasukkan nilai ke dalam jadual pangkalan data menggunakan parameter. Walau bagaimanapun, ia tidak mentakrifkan parameter dengan betul.

Penyelesaian:

Pendekatan yang betul adalah dengan mentakrifkan secara eksplisit setiap parameter dengan nama, jenis data dan nilainya, sebagai berikut:

SqlCommand cmd = new SqlCommand("INSERT INTO Product_table (Product_Name, Product_Price, Product_Profit, p) " +
                              "Values (@Product_Name, @Product_Price, @Product_Profit, @p)", connect);

cmd.Parameters.Add("@Product_Name", SqlDbType.NVarChar, ProductNameSizeHere).Value = txtProductName.Text;
cmd.Parameters.Add("@Product_Price", SqlDbType.Int).Value = txtProductPrice.Text;
cmd.Parameters.Add("@Product_Profit", SqlDbType.Int).Value = txtProductProfit.Text;
cmd.Parameters.Add("@p", SqlDbType.NVarChar, PSizeHere).Value = txtP.Text;

cmd.ExecuteNonQuery();

Tambahan Pertimbangan:

• Elakkan menggunakan AddWithValue kerana ia boleh membawa kepada isu prestasi yang berpotensi.
• Nyatakan secara eksplisit nama nilai dalam pernyataan INSERT, seperti yang ditunjukkan dalam sampel kod .
• Pastikan jenis data parameter sepadan dengan jenis data lajur yang sepadan dalam pangkalan data meja.

Atas ialah kandungan terperinci Bagaimanakah Saya Boleh Menambah Parameter dengan Selamat pada Perintah ADO.NET untuk Mencegah Suntikan SQL?. Untuk maklumat lanjut, sila ikut artikel berkaitan lain di laman web China PHP!