SQL注入的威力是不可忽視的，下面我們主要介紹防范方法——使用參數化SQL。對于不同的數據供應器都有對就的 Parameter 來表示SQL語句或者存儲過程中的各種參數。參數和數據庫字段的真實類型——對應，所有參數的值會僅僅被認為一個參數。因此，在參數中任何SQL語句都是沒有意義的。

string sConnectionString = @"Server=(local)\SQLEXPRESS;database=Forum;Trusted_Connection=True"; using (SqlConnection conn = new SqlConnection(sConnectionString)) {conn.Open();using (SqlCommand cmd = new SqlCommand("SELECT COUNT(*) FROM tbClass WHERE ClassName=@ClassName", conn)){cmd.Parameters.AddWithValue("@ClassName", tb_ClassName.Text);Response.Write(string.Format("共有{0}條記錄符合要求<br />", cmd.ExecuteScalar().ToString()));} }

在這段程序中，我們使用參數代替字符串的拼接。我們需要注意如下幾點。

·SQL語句或者存儲過程中指定的所有參數必須和Parameters屬性中的所有參數對應。

·參數集合的Add()方法有多種重載

cmd.Parameters.AddWithValue("@ClassName", tb_ClassName.Text);//就可以替代cmd.Parameters.Add("@ClassName", SqlDbType.VarChar, 50); cmd.Parameters["@ClassName"].Value = tb_ClassName.Text; ?

AddWithValue()方法會自動檢測參數的類型和長度，對于Add()方法其實也可以省略參數類型和長度。不過為了程序的可讀性還是建議你為參數指字類型和長度，當然這個類型和長度需要和數據庫字段的真實類型和長度對應。

　　我們還注意到，SqlParameter 對象有一個 Diection 方法。對于SQL語句中的參數，這個值沒有什么意義，它是用來指定存儲過程參數方向。它的值由 ParameterDirection 枚舉來定義，共有以下4個類型。

??????·Input

　　·InputOutput

　　·Putput

　　·ReturnValue

轉載于:https://www.cnblogs.com/hulang/archive/2010/12/29/1920643.html

總結

以上是生活随笔為你收集整理的使用参数来防止SQL注入的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。