为什么在 MySQL 中防止 SQL 注入时首选'AddWithValue()”而不是'Add()”？

Command.Parameters.Add() 已弃用：在 MySQL 查询注入中使用 AddWithValue()

Command.Parameters.Add 的用法出于安全原因，MySQL 查询中的 () 已被弃用。为了确保查询注入安全，建议使用 AddWithValue() 方法。

以下是如何更新代码以使用 AddWithValue()：

通过使用 AddWithValue() ，您消除了在查询中包含特殊字符或恶意 SQL 命令的风险，从而防止 SQL 注入攻击。

原始 SQL 查询，它包装了带单引号的占位符也是一个安全漏洞。 MySQL 中 SQL 查询的正确格式是对字段和表名称使用反引号 (`) 而不是单引号。因此，更新后的 SQL 查询应如下所示：

以上是为什么在 MySQL 中防止 SQL 注入时首选'AddWithValue()”而不是'Add()”？的详细内容。更多信息请关注PHP中文网其他相关文章！