像这样可以有效防止sql注入吗?
来源:百度知道 编辑:UC知道 时间:2024/06/30 05:58:27
输入的数据我在接收时通过编码将输入的字符转化为全角,即都不再是sql语句了,这样可以有效防止sql注入么?请高手赐教,谢谢。
1:采用带参数传递
sqlparameter[] paras= new sqlparameter[]{ new sqlparameter("@id",sqltytpe.int),
new sqlparameter("@title",sqltype.varchar)}
2:使用存储过程
3: 在global.asax 中过滤特殊字段
最好使用Parameters参数进行传值
在sqlcommand里面用Parameters传值
不可以,必须要替换非法字符,否则存进去没问题,读的时候会有问题。