c# - 文字やその他の可能な方法を削除して、SQL インジェクションを防ぎます

翻译自：https://stackoverflow.com/questions/17330214 2013-06-26T20:51:12.197

2676 次

'SQLクエリの変数で" " 文字を削除すると、SQL インジェクションを回避できます。私が使用するSQLクエリは次のとおりです。

dbCommand = new OleDbCommand("update Table1 set PhoneNo = '" + phone + "' where Table1.Company = '" + company + "'", dbConnection);
dbCommand.ExecuteNonQuery();

同様の方法で SELECT sql クエリも使用します。

dbReader = new OleDbCommand("select * from Table1 where Table1.Company = '" + company + "'", dbConnection).ExecuteReader();
dbReader.Read();

if (dbReader.HasRows)
{
    //Do operations using dbReader["Company"]
}

SQL インジェクションやその他のリスクを引き起こす可能性のある変数に他の文字はありますか? それらを削除できます。SQL インジェクションやその他のリスクを防ぐ他の方法は何ですか?

c# - 文字やその他の可能な方法を削除して、SQL インジェクションを防ぎます

2 に答える 2

Related

Reference