在线等~~~~~~~~~怎样有效防止JS和SQL攻击 请问如果用参数的话是不是防止JS和SQL攻击的最有效办法?为什么??有没有演示的代码怎么做? 解决方案 » 免费领取超大流量手机卡,每月29元包185G流量+100分钟通话, 中国电信官方发货 太多拉,。NET里使用SQLCOMMAND,使用存储过程拉。 像这种是吗?string sqlstring = "select * from [table] wher name=@name";SqlCommand MyCommand = new SqlCommand(sqlstring,myconnection);MyCommand.Parameters.Add("@name",SqlDbType.NVarChar,50).Value=Name.Text; sql还是用存储过程的好,用户权限要分细,不要给sa,楼上说的对呀。最好不要用替换的方法。 http://blog.csdn.net/goody9807/articles/199076.aspx 如果用sql语句,最好Replace("'","''") 1、对文本输入的内容进行过滤将SQL中使用的一些特殊符号用Replace过滤掉2、限制文本的长度3、监察数据的合法性,可以通过正则表达式来限定4、使用带参数的SQL语句形式 使用带参数的sql语句,可以确保从外部源接收到的值仅作为值传递,而不做为sql语句的一部分来传递,可以防止参数受到SQL注入式攻击。你的写法正确。 关于using namespace 和引用 混淆了 asp.net如何实现自定义列显示并且每一列都可以排序? 如何判断链接的,用Repeater显示数据,如何作到根据不同条件显示不同链接的内容? 【两个问题】没有域的环境可不可以安装sharepoint?... 求visual studio .net2002英文版下載地址! 刷新问题 :( mvc3.0问题 asp.net抓取网页内容 关于DateTime.Now有可能异常的问题 to hgknight(江雨.net): 修改一条sql语句 不难也不容易 分析“ 操作必须使用一个可更新的查询”问题的原因,并求间歇性出现此问题的解决方法
string sqlstring = "select * from [table] wher name=@name";
SqlCommand MyCommand = new SqlCommand(sqlstring,myconnection);
MyCommand.Parameters.Add("@name",SqlDbType.NVarChar,50).Value=Name.Text;
最好不要用替换的方法。