VIKEnut'

Pt

РусскийDeutschEspañol

Tema escuro

Write

Tema escuro

Pt

РусскийDeutschEspañol
sql-serverc#asp.netsqlstored-procedures

O que é passar parâmetros para o SQL e por que eu preciso disso?

Iniciante aqui:

Nissoresponda para minha pergunta de como inserir dados no SQL Server, ele mencionou a passagem de parâmetros em vez da concatenação de strings, como eu tenho atualmente.

Isso é realmente necessário para a segurança? Se sim, o que exatamente é a passagem de parâmetros? Quando eu pesquiso no Google, eu recebo muito sobre procedimentos armazenados. É isso que eu quero, eu não sei sobre procedimentos armazenados .... ainda.

Se você puder me apontar na direção certa, eu apreciaria isso.

Obrigado.

EDITAR:

Ok, aqui está o que eu tenho. Parece atualizar o banco de dados corretamente e, eventualmente, alterarei as entradas codificadas para entradas de um rótulo. Por favor, confirme se como eu fiz isso não é vulnerável a qualquer injeção de sql ou hacks.

using System;
using System.Collections.Generic;
using System.Linq;
using System.Web;
using System.Web.UI;
using System.Web.UI.WebControls;
using System.Web.Security;

using System.Data;
using System.Data.Sql;
using System.Data.SqlClient;



public partial class Stats : System.Web.UI.Page
{

    public SqlDataReader DataReader;
    public SqlCommand Command;
    string queryString = ("INSERT INTO UserData (UserProfileID, ConfidenceLevel, LoveLevel, HappinessLevel) VALUES (@UID, @CL, @LL, @HL);");
    //string queryString = ("INSERT INTO UserData (UserProfileID, ConfidenceLevel, LoveLevel, HappinessLevel) VALUES ('a051fc1b-4f51-485b-a07d-0f378528974e', 2, 2, 2);"); 

    protected void Page_Load(object sender, EventArgs e)
    {
       LabelUserID.Text = Membership.GetUser().ProviderUserKey.ToString();

    }

    protected void Button1_Click(object sender, EventArgs e)
    {

        //connect to database
        MySqlConnection database = new MySqlConnection();
        database.CreateConn(); 

        //create command object
        Command = new SqlCommand(queryString, database.Connection);

        //add parameters. used to prevent sql injection
        Command.Parameters.Add("@UID", SqlDbType.UniqueIdentifier);
        Command.Parameters["@UID"].Value = Membership.GetUser().ProviderUserKey;

        Command.Parameters.Add("@CL", SqlDbType.Int);
        Command.Parameters["@CL"].Value = 9;

        Command.Parameters.Add("@LL", SqlDbType.Int);
        Command.Parameters["@LL"].Value = 9;

        Command.Parameters.Add("@HL", SqlDbType.Int);
        Command.Parameters["@HL"].Value = 9;

        Command.ExecuteNonQuery(); 


    }

}

questionAnswers(5)

yourAnswerToTheQuestion

Perguntas populares

0 a resposta

Programa ignora cin.getline ()

0 a resposta

Como posso remover o silêncio de um MP3 programaticamente?

0 a resposta

Função de retorno de caracteres de comprimento desconhecido

0 a resposta

Por que não posso adicionar localização ao meu aplicativo para iOS?

0 a resposta

enviando e-mails com codeigniter recebidos em lixo eletrônico