防止SQL注入漏洞攻击的有两种方法:
1)第一种是所有的SQL语句都存放在存储过程中,不但可以避免SQL注入,还能提高性能,并且存储过程可以有专门的数据库管理员(DBA)编写和集中管理;不过这种做法有时候针对相同的几个表有不同的查询条件,SQl语句可能不同,这样就会编写大量的存储过程。于是就有了第二种查询方法,
2)参数化查询SQL语句
举例如下:
//实例化Connection对象
SqlConnection con = new SqlConnection("数据库连接字符串"); //为添加数据库连接字符串
//实例化Command对象
SqlCommand cmd = new SqlCommand("SELECT * FROM UserInfo where Sex=@sex and age=@age", con);
//SqlCommand cmd = con.CreateCommand();
//cmd.CommandText="SELECT * FROM UserInfo where Sex=@sex and age=@age";
//第一种添加查询参数的例子
cmd.Parameters.AddWithValue("@sex", true);
//第二种添加查询参数的例子
SqlParameter Parameter = new SqlParameter("@age", SqlDbType.Int);
Parameter.Value = 30;
cmd.Parameters.Add(Parameter); //添加参数
//实例化DataAdapter
SqlDataAdapter adapter = new SqlDataAdapter(cmd);
DataTable data = new DataTable();