我有一段时间第一次使用C#,我有一行这样的代码。
SQL = string.Format("PageName = '{0}'", bp.CommandArgument);
我需要知道如何从任何SQL注入中保护对象“bp.CommandArgument”。谢谢。
答案 0 :(得分:6)
为什么不使用sql参数?
string commandTxt = "SELECT ... FROM ... WHERE PageName=@PageName";
var command = new SqlCommand(commandTxt, connection);
command.Parameters.Add("@PageName", bp.CommandArgument);
我假设connection是您声明的SqlConnection对象。