.net中sql语句的安全性,感觉sql中的一些写法不安全,特别当你传的是字符串的sql语句,就不安全。找了好久,找到了一些方法
public static int Add(RoleInfo role)
{
string sql = string.Format("insert into [RoleInfo] values ('{0}','{1}')", role.RoleName, role.RoleDesc);
int row = GetConnection.NoSelect(sql);
return row;
}
这样的写法会安全点。
而传统的方法是
public static int InsertRoleInfo(RoleInfo role)
{
string sql = "INSERT INTO RoleInfo VALUES('"+role.RoleName+"','"+role.RoleDesc+"')";
int row = GetConnection.NoSelect(sql);
return row;
}
你想想看,如果RoleInfo里面的roleName的字符串是“你'delete from Id'好”用传统的方法去执行,执行的时候就会报错了。
相关新闻
- 小程序登录流程图理解 2020-08-18
- 在C#中获取web.config中的配置信息 2021-08-23
- 小程序open-data头像样式 2021-04-10
- 小程序rich-text 富文本解析图片过大和图片路径的问题 2020-11-25
- C#中去掉字符串的最后一个字符 2020-11-23
