防止sql注入一般都用参数化查询,这里不考虑存储过程。可用语句
OleDbParameter parm = new OleDbParameter(Name, Type, Direction, Size, Value);
cmd.Parameters.Add(parm);语句中指定了数据类型,数据长度,但是addwidthvalue只需要参数名和值就行了,自动判断类型和长度,这样的化不就失去了防止sql注入的意义了吗?
OleDbParameter parm = new OleDbParameter(Name, Type, Direction, Size, Value);
cmd.Parameters.Add(parm);语句中指定了数据类型,数据长度,但是addwidthvalue只需要参数名和值就行了,自动判断类型和长度,这样的化不就失去了防止sql注入的意义了吗?
解决方案 »
免费领取超大流量手机卡,每月29元包185G流量+100分钟通话, 中国电信官方发货