111,120
社区成员
发帖
与我相关
我的任务
分享addwithvalue方法是否失去了防止sql注入的功能?
防止sql注入一般都用参数化查询,这里不考虑存储过程。可用语句
OleDbParameter parm = new OleDbParameter(Name, Type, Direction, Size, Value);
cmd.Parameters.Add(parm);
语句中指定了数据类型,数据长度,但是addwidthvalue只需要参数名和值就行了,自动判断类型和长度,这样的化不就失去了防止sql注入的意义了吗?
OleDbParameter parm = new OleDbParameter(Name, Type, Direction, Size, Value);
cmd.Parameters.Add(parm);
语句中指定了数据类型,数据长度,但是addwidthvalue只需要参数名和值就行了,自动判断类型和长度,这样的化不就失去了防止sql注入的意义了吗?
...全文
请发表友善的回复…
发表回复
advisd 2011-07-12
- 打赏
- 举报
说了是参数化了。这就会防止sql注入。
zhou_xuexi 2011-07-12
- 打赏
- 举报
用参数化sql语句姐可以防止sql注入
q107770540 2011-07-12
- 打赏
- 举报
addwidthvalue 不就达到了参数化SQL的目的了么
Ny-6000 2011-07-12
- 打赏
- 举报
[Quote=引用 1 楼 net_lover 的回复:]
addwithvalue是可以避免SQL注入的
参考
http://en.csharp-online.net/ASP.NET_Security_Hacks%E2%80%94Avoiding_SQL_Injection
[/Quote]
支持。一个。
addwithvalue是可以避免SQL注入的
参考
http://en.csharp-online.net/ASP.NET_Security_Hacks%E2%80%94Avoiding_SQL_Injection
[/Quote]
支持。一个。
孟子E章 2011-07-12
- 打赏
- 举报
addwithvalue是可以避免SQL注入的
参考
http://en.csharp-online.net/ASP.NET_Security_Hacks%E2%80%94Avoiding_SQL_Injection
参考
http://en.csharp-online.net/ASP.NET_Security_Hacks%E2%80%94Avoiding_SQL_Injection
