c# – 是否足以禁止输入中的单引号以避免SQL注入？

概述我继承了一个旧的软件,代码在使用字符串连接构造SQL语句之前检查用户输入是否包含单引号字符. 这是否足以避免SQL注入(除了样式不好)还是我必须立即采取行动并将其更改为参数用法？ 不,这还不够. 是的,您必须立即采取措施并将其更改为适用的参数用法. 您只需遵循一些指导原则即可： >永远不要注意任何注射.但请确保您已正确格式化SQL文本.格式正确的文字是防错的 – 就像副作用一样 – 也是无懈可击的 我继承了一个旧的软件,代码在使用字符串连接构造SQL语句之前检查用户输入是否包含单引号字符.

这是否足以避免sql注入(除了样式不好)还是我必须立即采取行动并将其更改为参数用法？

解决方法 不,这还不够.

是的,您必须立即采取措施并将其更改为适用的参数用法.

您只需遵循一些指导原则即可：

>永远不要注意任何注射.但请确保您已正确格式化sql文本.格式正确的文字是防错的 – 就像副作用一样 – 也是无懈可击的.>发现SQL查询由几种不同类型的文字组成的事实.每个都需要不同的格式,对所有其他格式不兼容和无用.>确保无条件地应用这种格式.准备好的陈述是唯一可以确定的方式.

总结

以上是内存溢出为你收集整理的c# – 是否足以禁止输入中的单引号以避免SQL注入？全部内容，希望文章能够帮你解决c# – 是否足以禁止输入中的单引号以避免SQL注入？所遇到的程序开发问题。

如果觉得内存溢出网站内容还不错，欢迎将内存溢出网站推荐给程序员好友。