.net中sql语句的安全性
浏览量: 次
.net中sql语句的安全性,感觉sql中的一些写法不安全,特别当你传的是字符串的sql语句,就不安全。找了好久,找到了一些方法
public static int Add(RoleInfo role)
{
string sql = string.Format("insert into [RoleInfo] values ('{0}','{1}')", role.RoleName, role.RoleDesc);
int row = GetConnection.NoSelect(sql);
return row;
}
这样的写法会安全点。
而传统的方法是
public static int InsertRoleInfo(RoleInfo role)
{
string sql = "INSERT INTO RoleInfo VALUES('"+role.RoleName+"','"+role.RoleDesc+"')";
int row = GetConnection.NoSelect(sql);
return row;
}
你想想看,如果RoleInfo里面的roleName的字符串是“你'delete from Id'好”用传统的方法去执行,执行的时候就会报错了。
[声明]本网转载网络媒体稿件是为了传播更多的信息,此类稿件不代表本网观点,本网不承担此类稿件侵权行为的连带责任。故此,如果您发现本网站的内容侵犯了您的版权,请您的相关内容发至此邮箱【27535611@qq.com】,我们在确认后,会立即删除,保证您的版权。