내가 내 ASP 페이지에서 검색 기능을 가지고 내 쿼리를 선택한다고 생각 VS2005의 C#을 ASP.NET 및 SQL Server 2005방지 SQL 주입
을 사용하고하는 것은 SQL에 취약 주입.
이 내 현재 SELECT 성명 : searchTB
내 검색 텍스트 상자가
string LoggedInUser = (User.Identity.Name);
SqlDataSource1.SelectCommand = "SELECT * FROM [TABLE1] where [" + DropDownList1.Text + "] like '%" + searchTB.Text + "%' AND [empUser] LIKE '%"+LoggedInUser+"%'";
SqlDataSource1.DataBind();
*입니다; DropDownList1
내 검색 카테고리입니다; LoggedInUser
은 로그인 한 사용자의 사용자 이름입니다.
내 INSERT 문 중 하나의 매개 변수 대신 연결을 구현 한 :
string sql = string.Format("INSERT INTO [TABLE2] (Username) VALUES (@Username)");
SqlCommand cmd = new SqlCommand(sql, conn);
cmd.Parameters.AddWithValue("Username", usernameTB.Text);
conn.Open();
cmd.ExecuteNonQuery();
conn.Close();
내가 변경하려면 내 내 INSERT 문처럼 문을 SELECT, 매개 변수를 대신 사용하십시오. 어떻게 변경해야하는지 알 수 있습니까?
는
내 대답에 문제가 있습니까? 도움이 더 필요하십니까? – dknaack