在C#中�����,使用SqlCommand對象的SqlParameter對象可以有效防止SQL注入攻擊����。當你使用參數化查詢時����,參數值會被自動轉義�����,從而避免了惡意用戶輸入導致的安全問題�。
以下是如何使用SqlParameter來防止SQL注入的示例:
using System.Data;
using System.Data.SqlClient;
class SqlInjectionExample
{
static void Main()
{
string userId = "userInput";
string connectionString = "YourConnectionString";
string queryString = "SELECT * FROM Users WHERE UserId = @UserId";
using (SqlConnection connection = new SqlConnection(connectionString))
{
SqlCommand command = new SqlCommand(queryString, connection);
command.Parameters.AddWithValue("@UserId", userId);
try
{
connection.Open();
SqlDataReader reader = command.ExecuteReader();
while (reader.Read())
{
Console.WriteLine($"User ID: {reader["UserId"]}, User Name: {reader["UserName"]}");
}
reader.Close();
}
catch (Exception ex)
{
Console.WriteLine($"Error: {ex.Message}");
}
}
}
}
在這個示例中��,我們使用了參數化查詢(queryString中的@UserId)��,并將用戶輸入(userId)作為參數傳遞給SqlCommand對象�����。當執行查詢時�����,參數值會被自動轉義���,從而避免了SQL注入攻擊���。
