VIKEnut'

Pt

РусскийPolskiDeutschEspañol

Tema escuro

Write

Tema escuro

Pt

РусскийPolskiDeutschEspañol
c#ado.net.netsql

Prevenção de injeção de SQL no .NET

Eu normalmente escrevo meu SQL assim no .NET

sql.Append("SELECT id, code, email FROM mytable WHERE variable = @variable ");

Então faça algo assim:

using (SqlConnection conn = new SqlConnection(ConfigurationManager.ConnectionStrings[ConfigurationManager.AppSettings["defaultConnection"]].ConnectionString))
{
    using (SqlCommand myCommand = new SqlCommand(sql.ToString(), conn))
    {
        myCommand.Parameters.AddWithValue("@variable", myVariableName");
        ...

Mas devo também fazer isso addParameter quando os dados que recebi vem diretamente do banco de dados como assim?

likesql.Append(string.Format("SELECT group_id, like_text FROM likeTerms ORDER BY group_id ASC "));

DataTable dtLike = SqlHelper.GetDataTable(likesql.ToString());

foreach (DataRow dr in dtLike)
{
    buildsql.Append(".... varId = " + dr["group_id"].ToString() + "...");

    ...

Isso é aceitável? Qual é a melhor prática?

questionAnswers(4)

yourAnswerToTheQuestion

Perguntas populares

0 a resposta

DataSet Segura para Segmento

0 a resposta

Erro de sql dinâmico: 'CREATE TRIGGER' deve ser a primeira instrução em um lote de consulta

0 a resposta

Método auxiliar de teste com o Minitest

0 a resposta

Baixe o arquivo da url e faça o upload para o AWS S3 sem salvar - node.js

0 a resposta

CSS: “display: auto;”?