public ActionResult PostMessage(string message)
{
MessageController mc = new MessageController();
mc.postMessage(message);
}
我可以在这做什么来阻止此字符串中的SQL注入?这是用户在整个页面上的唯一输入。我熟悉一些PHP技术,但我如何在c#中保护自己?
谢谢!
编辑:
connection.Open();
SqlCommand command = new SqlCommand("[dbo].[tblMessages_Insert]", connection);
command.CommandType = CommandType.StoredProcedure;
// params
SqlParameter messageText = new SqlParameter("@messageText", SqlDbType.VarChar);
messageText.Value = message;
// add params
command.Parameters.Add(messageText);
rows = command.ExecuteNonQuery();
答案 0 :(得分:3)
在我看来,你已经在防止注射;你正在使用参数。