关于sql注入,该如何处理

2012-03-23

关于sql注入SqlCommand cmd new SqlCommand(select * from WARE where warename + TextBox1.Text +

关于sql注入
SqlCommand cmd = new SqlCommand("select * from WARE where warename='" + TextBox1.Text + "'", conn); 这个可以SQL注入，明白。

//SqlCommand cmd = new SqlCommand("jian", conn);

//cmd.CommandType = CommandType.StoredProcedure;

//cmd.Parameters.AddWithValue("a", TextBox1.Text); 这句话什么意思?

后面注释的三句话是如何做到防止SQL注入的呢?

[解决办法]

探讨
cmd.Parameters.AddWithValue("@a", TextBox1.Text.Replace("'","''"));
使用sqlcommand参数还要TextBox1.Text.Replace("'","''")吗，请问?

热点排行

dataGridView加载后选择默认项的有关问题
C# Convert Bit地图Frame to Icon and V
快崩溃了，IIS透过WEB创建站点提示 (Exc
还是dataGridView有关问题。显示其它数
调试时揭示已定义具有相同参数类型的成员
DataTabel怎么排序
新手有关问题。Error: Type and identif
请不要把CSDN当成免费的劳动力市场———
axWebBrowser控件的有关问题
点击button，打开网页，如何做的

C#

关于sql注入,该如何处理