我正在编写一个INSERT查询,它将大量值插入表中。唉,我不能在这种特殊情况下使用参数化查询。
所以我希望有一个函数来删除导致INSERT失败的所有错误字符。例如。在以下查询中
INSERT INTO myTable (a,b,c) VALUES ("a","b","c")
如果a的值包含引用",则可能会破坏整个INSERT。那么有一个功能来删除所有这些危险的字符?否则,哪些角色是危险的?
答案 0 :(得分:0)
使用sql-parameters防止脚本中的任何注入:
SqlCommand command = new SqlCommand("INSERT INTO myTable (a,b,c) VALUES (@a,b,@c)", conn);
command.Parameters.AddWithValue("@a", "a");
command.Parameters.AddWithValue("@b", "b");
command.Parameters.AddWithValue("@c", "c");