アプリケーションでの SQL インジェクションの防止に関して簡単な質問があります。
私の Web アプリケーションの 2 つの異なる機能は、ユーザーが MSSQL データベースからアイテムを検索するために使用できるテキスト ボックスを使用します。この情報は GridView に表示されます。
このメソッドを使用してクエリを作成します。
sqldatasource.SelectCommand = "SELECT x from x where this_id LIKE '%" + txtbox.Text + "%' ORDER BY x ASC";
明らかに、ユーザー入力を取得してこのようなクエリに直接入力すると、基本的な SQL インジェクションが可能になります。アプリケーションでSQLインジェクションを防ぐためにこれをパラメータ化する方法を誰か説明してもらえますか?
前もって感謝します