預 防 SQL Injection

摘要:預 防 SQL Injection

(1).程式連線的 SQL 帳號  權限只開啟 [dataread]、[datawrite]
(2).SQL組字串時請使用 .net 內建的組字串參數

  SqlCommand command = new SqlCommand(commandText, connection);
   command.CommandText="slect * from  emp  where  emp_id=@ID ";
  //---------------方 法 1 ---------------------
  command.Parameters.Add("@ID", SqlDbType.Int);
  command.Parameters["@ID"].Value = customerID;

  //---------------方 法 2----------------------
  command.Parameters.AddWithValue("@ID", "值");