나는 SQL 인젝션에 대해 조금 읽었고 내 코드가 "안전하다"라고 말하고 싶다. 사용자 입력을 검사하기 위해 RegExp 유효성 검사기를 사용할 계획 이었지만 여기서 매개 변수화 된 쿼리 만 사용하여 제안했다. 잘 사용하고 있지만 코드가 안전한지 확인하고 싶습니다. 그렇습니까? SQL 인젝션으로부터 안전한 매개 변수로 DB에 삽입?
using (SqlConnection dataConnection = new SqlConnection(myConnectionString))
{
using (SqlCommand dataCommand = dataConnection.CreateCommand())
{
dataCommand.CommandText = "INSERT INTO Lines (Name, CreationTime) " +
"VALUES (@LineName, @CurrentDateTime)";
dataCommand.Parameters.AddWithValue("@LineName", TextBox2.Text);
dataCommand.Parameters.AddWithValue("@CurrentDateTime", DateTime.Now.ToString());
dataConnection.Open();
//do other DB stuff
나는 마지막 부분은, 나머지 그냥 시도하고 예외를 잡기 DB 연결을 닫는뿐만 아니라 성공적인 삽입에 대한 사용자 피드백을 제공 포스트 짧은을 만들기 위해 들어온다.
은'CreationTime' 열 유형 인 경우'DateTime', 당신은'로 .toString()'캐스트가 필요하지 않습니다. – Cosmin