在ASP.NET中转义SelectParameters

时间:2009-10-15 16:16:44

标签: asp.net sql

我有以下SQLDataSource

<asp:SqlDataSource ID="topicSource" runat="server" ConnectionString="<%$ ConnectionStrings" 
        SelectCommandType="Text" SelectCommand="SELECT * FROM tbl_Topic WHERE TopicId = @TopicId">
        <SelectParameters>
            <asp:QueryStringParameter Name="TopicId" QueryStringField="id" />
        </SelectParameters>
    </asp:SqlDataSource>

ASP.NET是否为我转义了select参数?如果没有,我该怎么做才能防止注射更安全?

1 个答案:

答案 0 :(得分:2)

是:在这种情况下,您可以完全免受SQL注入的影响。这就是以这种方式获取SQL参数的重点。

相关问题
最新问题