C#中如何使用 in 传递sql语句参数 5
如果是单个的值select*fromtablewhereid=@id便可以防止sql注入,但是形如:select*fromtablewhereidin(1,2,3)这样的...
如果是单个的值 select * from table where id=@id 便可以防止sql注入,但是形如:
select * from table where id in (1,2,3) 这样的sql语句在C#中如何传递1,2,3这样的值呢?
select * from table where id in (@id) ;
传过来的值是'1,2,3'字符串,但是id是整形,报错!如果id是varchar类型,则查不出数据! 展开
select * from table where id in (1,2,3) 这样的sql语句在C#中如何传递1,2,3这样的值呢?
select * from table where id in (@id) ;
传过来的值是'1,2,3'字符串,但是id是整形,报错!如果id是varchar类型,则查不出数据! 展开
展开全部
追问
这种形式我知道,我想要的就是防注入的!
追答
你的in使用的参数是怎么获取的?
一般sql防注入是因为查询或更新的内容是由用户输入或者是通过post、get方式进行提交,所以给了他人自己构造并写入的机会,所以要防注入
如果你的参数是在程序中生成的那么安全性应该本身就很高
你可以尝试在程序中通过判断特殊字符或指定关键字来检测是否存在注入
本回答被网友采纳
已赞过
已踩过<
评论
收起
你对这个回答的评价是?
展开全部
傻,不会变通,直接用select * from table where id in(@a1,@a2,@a3.....)
明白了吗?
也可以把id拆分出来,既然是ID拆分出来以后全部转成数字,再重新组合,就不用参数了,也不会被注入了。
明白了吗?
也可以把id拆分出来,既然是ID拆分出来以后全部转成数字,再重新组合,就不用参数了,也不会被注入了。
已赞过
已踩过<
评论
收起
你对这个回答的评价是?
展开全部
可以把 in(1,2,3) 这样的值作为参数,如:String.Fomat(".......in('{0}','{2}','{3}'",id1,id2,id3);
不知道可以不可以,你可以试试。
不知道可以不可以,你可以试试。
追问
不可以
已赞过
已踩过<
评论
收起
你对这个回答的评价是?
展开全部
照样啊 select * from table where id in (@id) 只不过@id 要组织成 1,2,3 这样的字符串
追问
不行
追答
那是你没组织好
已赞过
已踩过<
评论
收起
你对这个回答的评价是?
展开全部
...
已赞过
已踩过<
评论
收起
你对这个回答的评价是?
更多回答(5)
推荐律师服务:
若未解决您的问题,请您详细描述您的问题,通过百度律临进行免费专业咨询
