在C#中,使用SqlCommand对象的SqlParameter对象可以有效防止SQL注入攻击。当你使用参数化查询时,参数值会被自动转义,从而避免了恶意用户输入导致的安全问题。
以下是如何使用SqlParameter来防止SQL注入的示例:
using System.Data;
using System.Data.SqlClient;
class SqlInjectionExample
{
static void Main()
{
string userId = "userInput"; // 这里的用户输入可能包含恶意SQL代码
string connectionString = "YourConnectionString";
string queryString = "SELECT * FROM Users WHERE UserId = @UserId";
using (SqlConnection connection = new SqlConnection(connectionString))
{
SqlCommand command = new SqlCommand(queryString, connection);
command.Parameters.AddWithValue("@UserId", userId);
try
{
connection.Open();
SqlDataReader reader = command.ExecuteReader();
while (reader.Read())
{
Console.WriteLine($"User ID: {reader["UserId"]}, User Name: {reader["UserName"]}");
}
reader.Close();
}
catch (Exception ex)
{
Console.WriteLine($"Error: {ex.Message}");
}
}
}
}
在这个示例中,我们使用了参数化查询(queryString中的@UserId),并将用户输入(userId)作为参数传递给SqlCommand对象。当执行查询时,参数值会被自动转义,从而避免了SQL注入攻击。