最近因项目需要用Access做数据库开发Web项目 ACCESS被注入的安全问题
+ {9 l) e) a# S+ s, i4 f 许多人解决的方法仍然是用Replace替换特殊字符,然而这样做也并没有起到太大做用2 ^; ?" Q. { n& @* I2 R- }
今天就把用ACCESS参数化查询的一些方法和经验和大家分享,希望对大家有所启发$ k! h, w1 n2 l3 N- z# Z
ASP.net 用OleDbCommand的new OleDbParameter创建参数货查询
3 B! r8 g% x3 w9 K I ASP用Command的CreateParameter 方法创建参数化查询5 B4 r$ y; G7 m) o- R
(SQL储存过程查询也是用这个方法建立的)
, z b+ e# l9 E2 f' l. p ASP.NET C#语法
4 n- ]1 q. }9 ?4 b1 `) y. Q OleDbParameter parm = new OleDbParameter(Name, Type, Direction, Size, Value);
( S$ ~( H2 @/ T! ^ f" o0 M (实际上它有七重载大家具体大家可以在VS.net里面就可以看到)
( L% S1 ~" ~( h* e j 参数
+ P) z: e0 e, j Name 可选,字符串,代表 Parameter 对象名称。" u* o; x: }6 N$ T5 K
Type 可选,长整型值,指定 Parameter 对象数据类型。! a g8 `3 i: r$ u. F/ P) w1 ]
Direction 可选,长整型值,指定 Parameter 对象类型。。
" D& a) M$ L7 e0 O- S Size 可选,长整型值,指定参数值最大长度(以字符或字节数为单位)。' n0 o v6 X: ^# I" N2 {9 o
Value 可选,变体型,指定 Parameter 对象的值。
* v1 P3 F& L$ q) i* B 以下是实例,查询news表中所有tsing发表的新闻) l7 u' J9 C/ P0 o, ^% O
-------------------------------------------------------
& D% s7 Y) m- ^; k3 i sql="select * from newss where username=? order by id"
5 y' L" }+ j# x q //注意查询的条件均用?号表示. P/ q; i, m. v5 v9 F$ X7 t, @$ d
OleDbConnection conn = new OleDbConnection(connString);8 g, b8 m' {7 y/ V8 K- w3 h
OleDbCommand cmd = new OleDbCommand(sql,conn);; [+ x4 y2 S6 o4 v9 J! t$ z S- M
OleDbParameter parm = new OleDbParameter("temp",OleDbType.VarChar, 50);/ E; r9 W/ [* i0 G
//temp为Parameter对象可随便定义,OleDbType.VarChar指定为字符串,长度50
$ [( R5 c8 T6 X; B0 R0 M( c' c4 J parm.Direction = ParameterDirection.Input;4 ?. r# d# g- |5 |- }
//指定其类型输入参数1 Y0 C Q$ ~0 j8 p8 |
cmd.Parameters.Add(parm);% f- \; V, B* u3 A
cmd.Parameters["temp"].Value = "tsing";! u2 Q1 m, }1 R& C9 _; F6 x5 j
//查询tsing,也可以写成cmd.Parameters[0]
: m% m+ |! I+ ?( I g conn.Open();0 z2 u$ o$ H4 n1 U8 M
cmd.ExecuteReader();
J( B* X* b5 S4 w1 [! F ASP VBSCRIPT语法8 [7 |! ]; Q2 H" H' Z/ z" r( e
Set parameter = command.CreateParameter (Name, Type, Direction, Size, Value)3 N9 p7 h) k: x* ~* o, ]' g: s) ~/ r
参数同上 |