Na przykład, jest to kod, który używam:jest bezpieczny przy użyciu dynamicznego SQL z parametrami? Jeśli nie, z jakimi problemami bezpieczeństwa może być narażony?
String commandString = "UPDATE Members SET UserName = @newName , AdminLevel = @userLevel WHERE UserID = @userid";
using (SqlConnection conn = new SqlConnection(ConfigurationManager.ConnectionStrings["sqlconnectionstring"].ConnectionString))
{
SqlCommand cmd = new SqlCommand(commandString, conn);
cmd.Parameters.Add("@newName", newName);
cmd.Parameters.Add("@userLevel", userLevel);
cmd.Parameters.Add("@userid", userid);
conn.Open();
cmd.ExecuteReader();
Reader.Close();
}
To jest preferowany, bezpieczny sposób na zrobienie tego (rezygnując z subtelnego błędu, którego mi brakuje) – Greg
niesamowite odpowiedzi! Doceniam to!! – RoundOutTooSoon