如何使用command.CommandText属性替换输入参数来防止此代码中的SQL注入?
private void button1_Click(object sender, EventArgs e)
{
BindingSource bs = new BindingSource();
SqlCommand command = new SqlCommand();
StringBuilder sb = new StringBuilder();
bs.DataSource = dataGridView1.DataSource;
if (textBox1.Text != "")
{
sb.Append("DealClassification LIKE '%@Deal%' ");
command.Parameters.AddWithValue("@Deal", textBox1.Text);
}
if (textBox2.Text != "")
{
if (sb.Length > 0) sb.Append(" AND ");
command.Parameters.AddWithValue("@Trader", textBox2.Text);
sb.Append("TraderName LIKE '%@Trader%' ");
}
command.CommandText = sb.ToString();
bs.Filter = command.CommandText.ToString();
dataGridView1.DataSource = bs;
}字符串
1条答案
按热度按时间dw1jzc5e1#
这是错误的:
字符串
单引号内的任何内容都是文本,所以你根本没有使用参数。想想参数和引号在C#代码中是如何工作的。如果你这样做了:
型
你希望
text参数的值是display还是只是“text”这个词。希望你能理解是后者,那么SQL为什么要有任何不同呢?这里有两种选择。你可以在SQL代码中保留通配符,而实际使用参数:
型
另一个选项是将通配符合并到参数值中:
型