0
文字のエスケープを避けるためにパラメータを使用する方法の例をいくつか見てきました。パラメータの使用はSQLインジェクションに対して100%安全ですか?C#ASP.NET SQLパラメータ化
また、いくつかの基本的なクエリ(reguralyが使用されています)とパラメータの実装方法を教えてください。
私がここに来る前に検索したウェブサイトには、あまりにも複雑な例があります。次のように
A
答えて
2
パラメータ化されたSQLクエリの基本的な例は次のとおりです。
SqlCommand command = new SqlCommand(@"select city from users where username = @username", conn);
SqlParameter param = new SqlParameter();
param.ParameterName = "@username";
param.Value = "abc123"
command.Parameters.Add(param);
connはあなたが確立してきましたSqlConnectionオブジェクトです。
@usernameは、コマンド実行時に置換されるパラメータ名です。
abc123は、この例で示した作成済みのユーザー名です。
これは明らかに構成されたシナリオですが、その点が分かります。
0
短いバージョンとして、あなたは私が何が100%安全であることを述べることを躊躇し
SqlCommand command = new SqlCommand(@"select city from users where username = @username", conn);
command.Parameters.AddWithValue("@username", "value");
+0
OKですが、 '.AddWithValue()'メソッドを使用すると、基本的にADO.NETに使用されているデータ型を推測するように指示します。しかし、時々、それはオフになっています。したがって、私はこれをお勧めしません。**データ型を明示的に**定義する方が良いですし、ADO.NETランタイムによって推測に任せてはいけません。 –
+0
'AddWithValue'のオーバーロードがあると思います。タイプを渡すことができます。 –
関連する問題
- 1. パラメータとSQLインジェクションasp.net
- 2. SQLのパラメータ化
- 3. パラメータ化SQLクエリ
- 4. カスタムSQLパラメータ - C#
- 5. SQL ServerのパラメータC#
- 6. C#(ASP.Net)でパラメータ化されたストアドプロシージャを呼び出す方法
- 7. 動的SQLとパラメータ化クエリ
- 8. SQLのパラメータ化対エスケープ
- 9. 動的SQL、パラメータ化クエリ
- 10. SQLパラメータ化CTEのクエリ
- 11. ASP.NET C#SQL Server DataReader
- 12. SQL REVOKEコマンドをパラメータ化する方法
- 13. パラメータ化されたクエリエラーC#
- 14. C#SQLパラメータとしてトップ
- 15. DataAdapter Sqlクエリのパラメータ - c#
- 16. パラメータ化されたASP.NETのテキストボックスコントロール
- 17. SQL IN句のパラメータを持つASP.NET DataSource
- 18. ASP.NET SQL Selectステートメント(条件付き)パラメータ:
- 19. C#パラメータ化メソッド配列またはパラメータ化メソッドリスト
- 20. SQL検索エラーASP.NET C#
- 21. ASP.net c#簡単な質問パラメータ質問
- 22. Presto Presto CLIのパラメータ化されたSQL
- 23. Railsでパラメータ化されたSQL < >
- 24. SQLパラメータ化クエリに複数の値データベース
- 25. パラメータ化「順序がによって」SQL
- 26. AndroidでSQLのパラメータ化されたクエリ
- 27. パラメータ化されたSQL select文
- 28. アクセスするSQLパラメータ化クエリ支援
- 29. SQLクエリグループ化パラメータの最大値
- 30. キーで復号化がASP.NETのSQLコマンド
使用することができます。また、定期的に使用されるクエリはどういう意味ですか?データモデルに完全に依存します。 –