有没有办法通过使用存储过程来防止sql注入(inject)?
我有一个 sql 查询作为
select column name from table where field ='@value'
cmd.parameters.add('@value', value);
我正在使用具有最少权限的参数化查询。我如何编写一个基本的存储过程来防止 sql 注入(inject)。这可能吗?
最佳答案
select column name from table where field =@value
cmd.parameters.add('@value', value);
SQL参数避免了sql注入(inject)问题。
你只需要用参数改变=条件。检查上面的查询。
关于c# - 防止sql注入(inject),我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/6612306/