Mysql
 sql >> Teknologi Basis Data >  >> RDS >> Mysql

Memecahkan masalah SQLinjection

Gunakan parameter dalam kueri Anda:

// C#
SqlCommand cmd = new SqlCommand("UPDATE Products SET description = @Description WHERE id = @ID");
cmd.Parameters.AddWithValue("@Description", "something");
cmd.Parameters.AddWithValue("@ID", 123);

Dan yang setara di VB.net:

// VB.net
Dim cmd As New SqlCommand("UPDATE Products SET description = @Description WHERE id = @ID")
cmd.Parameters.AddWithValue("@Description", "something")
cmd.Parameters.AddWithValue("@ID", 123)


  1. Database
    2.   
  2. Mysql
    3.   
  3. Oracle
    4.   
  4. Sqlserver
    5.   
  5. PostgreSQL
    6.   
  6. Access
    7.   
  7. SQLite
    8.   
  8. MariaDB

  1. Masukkan bidang ID yang dihasilkan dari pemicu, tetapi tidak diteruskan

  2. Permintaan MySQL tidak dimasukkan ketika variabel PHP berisi tanda kutip tunggal

  3. Grup MySQL berdasarkan nomor minggu dengan beberapa kolom tanggal

  4. Bahasa Kueri Neo4j - Cypher

  5. Bagaimana cara mengganti nama file yang diunggah sebelum menyimpannya ke dalam direktori?