在C#中,防止SQL注入攻击的最佳方法是使用参数化查询(也称为预编译语句)
以下是一个使用ADO.NET和参数化查询来防止SQL注入攻击的示例:
using System;
using System.Data.SqlClient;
class Program
{
static void Main()
{
string connectionString = "your_connection_string";
string userInput = "user_input_here"; // 假设这是从用户输入获取的数据
using (SqlConnection connection = new SqlConnection(connectionString))
{
connection.Open();
// 使用参数化查询
using (SqlCommand command = new SqlCommand("SELECT * FROM Users WHERE Username = @Username", connection))
{
// 添加参数并设置其值
SqlParameter parameter = new SqlParameter("@Username", System.Data.SqlDbType.NVarChar, 50);
parameter.Value = userInput;
command.Parameters.Add(parameter);
// 执行查询
using (SqlDataReader reader = command.ExecuteReader())
{
while (reader.Read())
{
Console.WriteLine($"User ID: {reader["UserID"]}, Username: {reader["Username"]}");
}
}
}
}
}
}
在这个示例中,我们使用了@Username参数来代替直接将用户输入拼接到SQL语句中。这样可以确保用户输入不会被解释为SQL代码,从而防止SQL注入攻击。
除了参数化查询之外,还可以使用其他方法来防止SQL注入攻击,例如: