Conn代表資料庫連結  SqlConnection

 

...................................................................................................................................................

DataReader (SqlCommand)

            String SQLString = "Select * From test Where id = @id ";    // 注意到沒?連「單引號」都不可以出現

            SqlCommand cmd = new SqlCommand(SQLString, Conn);

            cmd.Parameters.Add("@id", SqlDbType.Int, 4);

            cmd.Parameters["@id"].Value =TextBox1.Text;

 

            //簡易寫法。 cmd.Parameters.AddWithValue("@參數名稱", 輸入的數值);

            //上面兩段參數,可以寫成  cmd.Parameters.AddWithValue("@id", TextBox1.Text);

 

....................................................................................................................................................

DataSet / DataTable (SqlDataAdapter)

// 注意!!資料隱碼攻擊(Sql Injection),請使用參數的寫法。

            String SQLString = "Select * From test Where id = @id ";  // 注意到沒?連「單引號」都不可以出現

            SqlDataAdapter myAdapter = new SqlDataAdapter(SQLString, Conn);

            //== 參數必須在執行SQL指令的時候,寫在下方等待呼叫。不然程式會出錯。

                ////舊的寫法:

                //myAdapter.SelectCommand.Parameters.Add("@id", SqlDbType.Int, 4);

                //myAdapter.SelectCommand.Parameters["@id"].Value = TextBox1.Text;

                

                //新的寫法:合併在一起寫

                myAdapter.SelectCommand.Parameters.AddWithValue("@id", TextBox1.Text);

 

完整的範例可以參閱我的書本上集

 

.AddWithValue()方法,請看 msdn網站 。

他的範例就介紹了我上面的兩種作法,請擇一使用

 

如果您使用 OleDb或是 Odbc,請把參數寫成「?」符號 (後面不可以帶上參數名稱喔!只有一個 ?符號而已)

 

下一篇文章:

[FAQ] ADO.NET 參數寫法 Parameter #2 -- SqlParameterCollection

 

FAQ -- 資料隱碼攻擊(SQL Injection)

 

 

 

 

我上課會解說,但幾個攻擊方式不便公開,

以免有心人拿到(學到)去測試「別人網站」

 

這本書有蒐集不少範例,推薦給您  

Beginning ASP.NET Security (0470743654) cover image

Beginning ASP.NET Security

Barry Dorrans

ISBN: 978-0-470-74365-2

Paperback

436 pages

March 2010

 

....................................................................................................................................................

另外,關於XSS攻擊(跨網站腳本攻擊,Cross-Sitws Script),可以看這本書

 XSS 網站安全技術與實務 : 防護解密剖析大進擊 (博碩) & Microsoft AntiXSS

 

防範 XSS的話,ASP.NET有提供 AntiXSS

檢查使用者輸入內容 - 以 AntiXss 做編碼

MICROSOFT ANTIXSS LIBRARY 3.1 UPGRADE 4.0  (KingKong Bruce)

msdn官方網站 -- System.Web.Security.AntiXss 命名空間

 

 

相關文章:

Microsoft Anti-XSS (Anti-Cross Site Scripting Library) 避免XSS攻擊

arrow
arrow

    MIS2000 Lab 發表在 痞客邦 留言(0) 人氣()