3

您好我想知道防止SQL injectionin的最佳方法SqlDataAdapter是什么(因为无法使用参数化查询)?

例如,让我们使用这部分代码:

da_services = new SqlDataAdapter("SELECT * from table WHERE column='" + textBox1.Text + "' AND column2='" + somestring + "'", conn);
scd_services = new SqlCommandBuilder(da_services);
dt_services = new DataTable();
da_services.Fill(dt_services);
dtg_services.DataSource = dt_services;
conn.Close();

感谢您的时间。

4

1 回答 1

5

您可以尝试访问 DataAdapter 的 SqlCommand 对象:

da_services = new SqlDataAdapter("SELECT * from table WHERE column=@column AND column2=@column2", conn);
da_services.SelectCommand.Parameters.AddWithValue("@column", textBox1.Text);
da_services.SelectCommand.Parameters.AddWithValue("@column2", somestring);
于 2013-09-29T12:58:01.030 回答