Sqlserver
 sql >> Baza danych >  >> RDS >> Sqlserver

Wstrzyknięcie SQL w Visual Basic 2010

Zasadniczo wszędzie, gdzie łączysz ze sobą łańcuchy, aby utworzyć instrukcję SQL, szczególnie ta, która pochodzi z danych wejściowych użytkownika, jest podatna na ataki.

Zamiast tego użyj parametrów SQL, które można dodać do właściwości Parameters polecenia SQL (SQLcmd tutaj).

Pokażę ci przykład z jednym z twoich parametrów - zmień tekst SQLCommand na:

INSERT INTO dbo.Patients(pIDNo, ...)
VALUES(@pIDNo, ...)

Gdzie @pIDNo to „symbol zastępczy” w ciągu dla wartości parametru, który jest wysyłany niezależnie od polecenia w Kolekcja SQLParameters .

Następnie możesz dodać parametr o tej samej nazwie, co ten „symbol zastępczy” i wartości (będzie on wyprowadzał typ z podanej wartości).

Oto przykład z wcześniejszego:

SQLcmd.Parameters.AddWithValue("@pIDNo", LabelPNumber.Text)



  1. Database
  2.   
  3. Mysql
  4.   
  5. Oracle
  6.   
  7. Sqlserver
  8.   
  9. PostgreSQL
  10.   
  11. Access
  12.   
  13. SQLite
  14.   
  15. MariaDB
  1. SQL Server CTE i przykład rekurencji

  2. Jak dodać AM/PM do wartości czasu w SQL Server (T-SQL)

  3. SQL Nie można wstawić jawnej wartości dla kolumny tożsamości w tabeli „Tabela”, gdy IDENTITY_INSERT jest ustawione na OFF

  4. Jak uniknąć błędu dzielenia przez zero w SQL?

  5. Każde wyrażenie GROUP BY musi zawierać co najmniej jedną kolumnę, która nie jest odnośnikiem zewnętrznym