C#中如何使用 in 传递sql语句参数 5

如果是单个的值select*fromtablewhereid=@id便可以防止sql注入,但是形如:select*fromtablewhereidin(1,2,3)这样的... 如果是单个的值 select * from table where id=@id 便可以防止sql注入,但是形如:
select * from table where id in (1,2,3) 这样的sql语句在C#中如何传递1,2,3这样的值呢?
select * from table where id in (@id) ;
传过来的值是'1,2,3'字符串,但是id是整形,报错!如果id是varchar类型,则查不出数据!
展开
 我来答
百度网友ea1c09c
2011-11-02 · TA获得超过1004个赞
知道小有建树答主
回答量:856
采纳率:0%
帮助的人:1305万
展开全部
不可以,in使用参数时会强制转换参数类型与条件字段一致,不支持构造字符串(如果字段本身为varchar、char型,则in相当于只有一个条件值,而不是一组)
你可以使用exec,把整个sql当做参数来执行,如
exec( 'SELECT * FROM table WHERE id IN ( '+@ids+ ') ')
但是我感觉这样实际上和直接构造sql语句没区别,起不到防注入作用
追问
这种形式我知道,我想要的就是防注入的!
追答
你的in使用的参数是怎么获取的?
一般sql防注入是因为查询或更新的内容是由用户输入或者是通过post、get方式进行提交,所以给了他人自己构造并写入的机会,所以要防注入
如果你的参数是在程序中生成的那么安全性应该本身就很高
你可以尝试在程序中通过判断特殊字符或指定关键字来检测是否存在注入
本回答被网友采纳
已赞过 已踩过<
你对这个回答的评价是?
评论 收起
prospertu
2020-05-22 · 超过20用户采纳过TA的回答
知道答主
回答量:206
采纳率:0%
帮助的人:42.6万
展开全部
傻,不会变通,直接用select * from table where id in(@a1,@a2,@a3.....)
明白了吗?
也可以把id拆分出来,既然是ID拆分出来以后全部转成数字,再重新组合,就不用参数了,也不会被注入了。
已赞过 已踩过<
你对这个回答的评价是?
评论 收起
Smile_Flyboy
2011-11-02
知道答主
回答量:37
采纳率:0%
帮助的人:19.6万
展开全部
可以把 in(1,2,3) 这样的值作为参数,如:String.Fomat(".......in('{0}','{2}','{3}'",id1,id2,id3);
不知道可以不可以,你可以试试。
追问
不可以
已赞过 已踩过<
你对这个回答的评价是?
评论 收起
关中布衣
2011-11-02 · 超过47用户采纳过TA的回答
知道小有建树答主
回答量:371
采纳率:0%
帮助的人:117万
展开全部
照样啊 select * from table where id in (@id) 只不过@id 要组织成 1,2,3 这样的字符串
追问
不行
追答
那是你没组织好
已赞过 已踩过<
你对这个回答的评价是?
评论 收起
喷农药的苏27
2011-11-02 · TA获得超过284个赞
知道小有建树答主
回答量:325
采纳率:0%
帮助的人:171万
展开全部
...
已赞过 已踩过<
你对这个回答的评价是?
评论 收起
收起 3条折叠回答
收起 更多回答(5)
推荐律师服务: 若未解决您的问题,请您详细描述您的问题,通过百度律临进行免费专业咨询

为你推荐:

下载百度知道APP,抢鲜体验
使用百度知道APP,立即抢鲜体验。你的手机镜头里或许有别人想知道的答案。
扫描二维码下载
×

类别

我们会通过消息、邮箱等方式尽快将举报结果通知您。

说明

0/200

提交
取消

辅 助

模 式