参数化查询对SQL注入有何帮助?在查询1和2中,TextBox中的文本被插入到数据库中。这里参数化查询的意义是什么?过路txtTagNumber作为查询参数SqlCommand cmd = new SqlCommand("INSERT INTO dbo.Cars " +"VALUES(@TagNbr);" , conn);
cmd.Parameters.Add("@TagNbr", SqlDbType.Int);
cmd.Parameters["@TagNbr"].Value = txtTagNumber.Text;转换txtTagNumber在构造查询之前转换为整数。int tagnumber = txtTagNumber.Text.ToInt16(); /* EDITED */INSERT into Cars values(tagnumber.Text);
/* then is it the same? */此外,在这里,我将使用正则表达式验证来停止非法字符的插入。
3 回答
互换的青春
TA贡献1797条经验 获得超6个赞
添加回答
举报
0/150
提交
取消