您好我想知道SQL injection
中防范SqlDataAdapter
的最佳方法是什么(因为无法使用参数化查询)?
例如,让我们使用这部分代码:
da_services = new SqlDataAdapter("SELECT * from table WHERE column='" + textBox1.Text + "' AND column2='" + somestring + "'", conn);
scd_services = new SqlCommandBuilder(da_services);
dt_services = new DataTable();
da_services.Fill(dt_services);
dtg_services.DataSource = dt_services;
conn.Close();
感谢您的时间。
答案 0 :(得分:5)
您可以尝试访问DataAdapter的SqlCommand对象:
da_services = new SqlDataAdapter("SELECT * from table WHERE column=@column AND column2=@column2", conn);
da_services.SelectCommand.Parameters.AddWithValue("@column", textBox1.Text);
da_services.SelectCommand.Parameters.AddWithValue("@column2", somestring);