Bagaimanakah Saya Boleh Kemas Kini Pangkalan Data SQL dengan Input Pengguna dengan Selamat untuk Mencegah Suntikan SQL?

Cara Mengemas kini Pangkalan Data SQL dengan Input Pengguna Menggunakan Parameter dengan Selamat

Apabila mengemas kini pangkalan data SQL daripada input pengguna, adalah penting untuk mencegah serangan suntikan SQL dengan menggunakan parameter. Mari kita pertimbangkan kod VB berikut:

dbConn = New SqlConnection("server=.\SQLEXPRESS;Integrated Security=SSPI; database=FATP")
dbConn.Open()

MyCommand = New SqlCommand("UPDATE SeansMessage SET Message = '" & TicBoxText.Text & _
                                            "'WHERE Number = 1", dbConn)

MyDataReader = MyCommand.ExecuteReader()
MyDataReader.Close()
dbConn.Close()

Jika input pengguna mengandungi aksara khas seperti petikan tunggal atau berganda, kod tersebut akan gagal. Untuk menangani isu ini, parameter boleh digunakan.

MyCommand = New SqlCommand("UPDATE SeansMessage SET Message = @TicBoxText WHERE Number = 1", dbConn)
MyCommand.Parameters.AddWithValue("@TicBoxText", TicBoxText.Text)

Parameter bernama (@TicBoxText) adalah seperti pembolehubah dalam SQL. Nilai dibekalkan dalam program VB.NET menggunakan AddWithValue. Ini memastikan bahawa arahan SQL adalah serba lengkap dan dilindungi daripada manipulasi input pengguna. Selepas membekalkan nilai, MyDataReader boleh melaksanakan arahan dengan selamat.

Dengan menggunakan parameter, anda boleh menghalang serangan suntikan SQL dan mengekalkan integriti pangkalan data anda.

Atas ialah kandungan terperinci Bagaimanakah Saya Boleh Kemas Kini Pangkalan Data SQL dengan Input Pengguna dengan Selamat untuk Mencegah Suntikan SQL?. Untuk maklumat lanjut, sila ikut artikel berkaitan lain di laman web China PHP!