1.用了它可以防止SQL注入是吗?
2.SqlParameter usbianhao = new SqlParameter("@bianhao", SqlDbType.VarChar, 20);
usbianhao.Value = bianhao;
myCommand.Parameters.Add(usbianhao); SqlParameter[] paras = new SqlParameter[]
{
new SqlParameter("@col1", SqlDbType.Int, 4)
}
paras[0].Value = DropDownList1.Text.Trim();
foreach (SqlParameter para in paras)
{
myCommand.Parameters.Add(para);
}
myCommand.Parameters.Add(new sqlParameters("@bianhao",TextBox1.Text)
这是我知道三种生成SQLparameter的方法,其中最后一段没有检查类型,它同样起到防止SQL注入的功能吗?
2.SqlParameter usbianhao = new SqlParameter("@bianhao", SqlDbType.VarChar, 20);
usbianhao.Value = bianhao;
myCommand.Parameters.Add(usbianhao); SqlParameter[] paras = new SqlParameter[]
{
new SqlParameter("@col1", SqlDbType.Int, 4)
}
paras[0].Value = DropDownList1.Text.Trim();
foreach (SqlParameter para in paras)
{
myCommand.Parameters.Add(para);
}
myCommand.Parameters.Add(new sqlParameters("@bianhao",TextBox1.Text)
这是我知道三种生成SQLparameter的方法,其中最后一段没有检查类型,它同样起到防止SQL注入的功能吗?
那如果SQL注入时,出现id='1 or 1=1',类似这样的情况。id已经不是整型了。自然就不能提交。
在一定程度上,用参数可以避免SQL注入。但并不完全