SqlParameter是如何防止SQL注入的

2012-04-12

SqlParameter是怎么防止SQL注入的？例如：我把一个值“aa or 11”这样的值通过SqlParameter传递时，执行时就

SqlParameter是怎么防止SQL注入的？
例如：我把一个值“aa' or 1=1”这样的值通过SqlParameter传递时，执行时就不会出错，而且还能防注入，但我想知道把值传给了SqlParameter后，它传给SQl的是什么值，什么的什么方法转换的。
谢谢

[解决办法]
LZ这个列子对sql注入将的很详细
点此进入
[解决办法]

探讨
stirng nn="aa or 1=1";
"select * from tb where t1='"+nn+"'";

//防注入
"select * from tb where t1=@N";
cmd.Parameters.Add(new SqlParameter(@N,aa or 1=1));

[解决办法]
利用参数化查询是防止SQL恶意注入的有效方法。

避免用参数直接拼SQL语句。

热点排行

有关用户体验的有关问题（另，如果想把录
请问一个类型转化的有关问题
删除DataTable中除指定行以外的行,该如何
关于EndInvoke解决方案
导入excel，报：定义了过多字段解决办法
请教,怎么使用C#获取本地网关的IP和MAC地
c# winform中的委托有关问题
一个关于软件使用期限的有关问题
c#创建word时怎么设置图片插入到指定文字
一个小疑点！

C#

SqlParameter是如何防止SQL注入的