0
文字のエスケープを避けるためにパラメータを使用する方法の例をいくつか見てきました。パラメータの使用はSQLインジェクションに対して100%安全ですか?C#ASP.NET SQLパラメータ化
また、いくつかの基本的なクエリ(reguralyが使用されています)とパラメータの実装方法を教えてください。
私がここに来る前に検索したウェブサイトには、あまりにも複雑な例があります。次のように
A
答えて
2
パラメータ化されたSQLクエリの基本的な例は次のとおりです。
SqlCommand command = new SqlCommand(@"select city from users where username = @username", conn);
SqlParameter param = new SqlParameter();
param.ParameterName = "@username";
param.Value = "abc123"
command.Parameters.Add(param);
connはあなたが確立してきましたSqlConnectionオブジェクトです。
@usernameは、コマンド実行時に置換されるパラメータ名です。
abc123は、この例で示した作成済みのユーザー名です。
これは明らかに構成されたシナリオですが、その点が分かります。
0
短いバージョンとして、あなたは私が何が100%安全であることを述べることを躊躇し
SqlCommand command = new SqlCommand(@"select city from users where username = @username", conn);
command.Parameters.AddWithValue("@username", "value");
+0
OKですが、 '.AddWithValue()'メソッドを使用すると、基本的にADO.NETに使用されているデータ型を推測するように指示します。しかし、時々、それはオフになっています。したがって、私はこれをお勧めしません。**データ型を明示的に**定義する方が良いですし、ADO.NETランタイムによって推測に任せてはいけません。 –
+0
'AddWithValue'のオーバーロードがあると思います。タイプを渡すことができます。 –
関連する問題
- 1. パラメータ化SQLクエリ
- 2. SQLのパラメータ化
- 3. カスタムSQLパラメータ - C#
- 4. SQL ServerのパラメータC#
- 5. SQLパラメータ化CTEのクエリ
- 6. SQLのパラメータ化対エスケープ
- 7. 動的SQLとパラメータ化クエリ
- 8. ASP.NET C#SQL Server DataReader
- 9. DataAdapter Sqlクエリのパラメータ - c#
- 10. C#SQLパラメータとしてトップ
- 11. パラメータ化されたクエリエラーC#
- 12. C#パラメータ化メソッド配列またはパラメータ化メソッドリスト
- 13. SQL IN句のパラメータを持つASP.NET DataSource
- 14. パラメータ化「順序がによって」SQL
- 15. SQLクエリグループ化パラメータの最大値
- 16. Railsでパラメータ化されたSQL < >
- 17. AndroidでSQLのパラメータ化されたクエリ
- 18. ASP.net c#簡単な質問パラメータ質問
- 19. c#のパラメータを持つ動的SQLクエリ
- 20. C#MySQLパラメータ化クエリの問題
- 21. C++ 11 static_assert:パラメータ化されたエラーメッセージ
- 22. C#SQLストアドプロシージャ(挿入) - パラメータを渡してパラメータを取得する
- 23. WHERE句でLIKEでパラメータ化されたSQLを使用する(Pervasive SQL)
- 24. C#SQL ServerでSQLパラメータを使用して選択する
- 25. sql exception、パラメータ化されたクエリがありません
- 26. Sql Server 2005 - Asp.netでのタイムアウトc#
- 27. ASP.NET C#またはJavaScriptのコンテキスト化
- 28. ASP.NET MVC - POSTパラメータ
- 29. SQL Anywhere/ASP.NET - 出力パラメータ付きのSQLDataSourceの使用
- 30. ASP.NETの初め。ログイン名をsqlパラメータとして使用
使用することができます。また、定期的に使用されるクエリはどういう意味ですか?データモデルに完全に依存します。 –