就是替换'就行了吗
但是要知道
在HTML中,替换了'的话会出现许多错误
假如<img src=''>这样替换掉的话也会出错了
要是在替换后再还原回来。要是功击的SQL语句的话也一样可以功击啊
但是要知道
在HTML中,替换了'的话会出现许多错误
假如<img src=''>这样替换掉的话也会出错了
要是在替换后再还原回来。要是功击的SQL语句的话也一样可以功击啊
解决方案 »
- ASP.NET中 尴尬的 Ajax 控件
- a页面设置b页面按钮的问题
- DevExpress 汉化包使用的问题
- TreeView 3级树如何在后台绑定数据,查找的数据结构是怎样的?求高人指点迷津。。!!!来就给分!!!
- 关于客户端脚本引用gridview的问题
- *送分*动态邦定DataGrid,怎么样获取它有多少列??
- 人才找工作的是为了金钱还是发挥的空间
- asp.net线程是否需要关闭,如何关闭。
- .net frameworks 是个框架,还是能给asp.net做动作的,谢谢大家
- 再问table.Select(),为什么我这样删除有错呢?---在线等待!
- 如何从frame退出
- 请问怎么加这个验证?
这类得URL,ID值只能是数字那么取值得时候就强制转换成数字型,转换失败就跳到一个错误页面给它。方法非常多
SqlParameter myParameter = new SqlParameter();
myParameter = cmd.Parameters.Add("@Content", SqlDbType.Text);
cmd.Parameters["@Content"].Value = TB_Content.Text;
CONN_Open();
cmd.ExecuteNonQuery();
conn.Close();
类似这样得代码就能用添加'符号得内容了。注入攻击对这样得代码无效。这个就是我前面说得“ADO得参数来传递URL接收到得参数”
winner2050(winner) ( ) 信誉:100
你这个是储存过程
能给出一个详细的代码出来吗
myParameter = cmd.Parameters.Add("@Content", SqlDbType.Text);
cmd.Parameters["@Content"].Value = TB_Content.Text; 和
SqlParameter myParameter = new SqlParameter();
myParameter = cmd.Parameters.Add("@Content",TB_Content.Text);
有没有区别的
你是我见过的信誉最低的了,呵呵
你没有看见少了cmd.CommandType = CommandType.StoredProcedure; 了嘛?
如果没有cmd.CommandType = CommandType.StoredProcedure;
就是执行SQL语句,如果有就执行存储过程了。
myParameter = cmd.Parameters.Add("@Content", SqlDbType.Text);
cmd.Parameters["@Content"].Value = TB_Content.Text; 和
SqlParameter myParameter = new SqlParameter();
myParameter = cmd.Parameters.Add("@Content",TB_Content.Text);
的区别是第一个允许的长度非常非常非常大
后面的那个只有8000字节。