(立即节贴)参数化查询为什么能够防sql注入呢??

悬赏园豆：10 [已关闭问题] 关闭于 2013-06-25 17:34

SqlCommand command = new SqlCommand(queryString, myConnection);
    command.CommandText = 
        "SELECT CustomerID, CompanyName FROM Customers " 
        + "WHERE Country = @Country AND City = @City";    
    command.Parameters.Add(paramArray);

想知道ado.net源码是怎么实现的.
或是看过的人,给说一说.
它是怎么实现过滤的呢?

.NET技术 ASP.NET

问题补充： 如果有一个参数 @condition 我能付 "userid>3"或是带有关键字的值吗? 它和我们写的那些过滤关键字的方法或原理一样吗?

蝗虫的大腿 | 初学一级 | 园豆：22
提问于：2010-09-09 11:44

< >

所有回答(2)

你可以通过SQL Server Proflier工具监视一下SQL SERVER最终执行的是什么?

I,Robot | 园豆：9783 (大侠五级) | 2010-09-09 12:09

请解释一下.谢谢

支持(0) 反对(0) 蝗虫的大腿 | 园豆：22 (初学一级) | 2010-09-09 12:44

其实参数化也就是ado.net帮你把那些敏感的字符过滤了而已,参数化的查询,实际上是调用sp_executesql这个存储过程执行的.

支持(0) 反对(0) I,Robot | 园豆：9783 (大侠五级) | 2010-09-09 15:00

下面是储存过程的形式执行SQL,防止SQL脚本的攻击。

SqlCommand command = new SqlCommand(queryString, myConnection);
    command.CommandText =
        "SELECT CustomerID, CompanyName FROM Customers "
        + "WHERE Country = @Country AND City = @City";
    command.Parameters.Add(paramArray);

love_99 | 园豆：325 (菜鸟二级) | 2010-09-09 12:45

清除回答草稿

您需要登录以后才能回答，未注册用户请先注册。

欢迎，请先 登录 或者 注册 。

(立即节贴)参数化查询为什么能够防sql注入呢??

欢迎，请先登录或者注册。