c# executenonquery如何防止SQL注入

157

2024/7/3 4:30:44

栏目: 云计算

为了防止SQL注入攻击，我们可以使用参数化查询来替代直接拼接SQL语句。在C#中使用参数化查询可以通过SqlCommand对象的Parameters属性来设置参数值。以下是一个示例代码：

using System;
using System.Data.SqlClient;

class Program
{
    static void Main()
    {
        string connectionString = "Data Source=YourServer;Initial Catalog=YourDatabase;Integrated Security=True;";
        string query = "INSERT INTO Users (Username, Password) VALUES (@Username, @Password)";

        using (SqlConnection connection = new SqlConnection(connectionString))
        {
            connection.Open();

            using (SqlCommand command = new SqlCommand(query, connection))
            {
                command.Parameters.AddWithValue("@Username", "JohnDoe");
                command.Parameters.AddWithValue("@Password", "123456");

                command.ExecuteNonQuery();
            }
        }
    }
}

在上面的代码中，我们使用参数化查询来插入一条用户记录到数据库中。通过使用@Username和@Password作为参数名，并且使用command.Parameters.AddWithValue方法来设置参数值，可以有效防止SQL注入攻击。因为参数值会被自动转义，避免了直接拼接SQL语句的安全风险。

辰迅云「云服务器」，即开即用、新一代英特尔至强铂金CPU、三副本存储NVMe SSD云盘，价格低至29元/月。点击查看>>

c# executenonquery如何防止SQL注入

最新知识库

相关标签