1 尽量用统一替换,好处很多 //创建insert语句 private List<string> GetInsertSqlFromListPA_SD(List<PA_SD> list) { List<string> sqlList = new List<string>(); string strSQL = @"Insert Into PA_SD(DNDH,pono,itemno,style,product,materdesc,prdsize,qty,subprddesc) Values({0},{1},{2},{3},{4},{5},{6},{7},{8}) "; foreach (PA_SD obj in list) { sqlList.Add(string.Format(strSQL, SqlParamFomat(obj.DNDH), SqlParamFomat(obj.pono), obj.itemno, SqlParamFomat(obj.style), SqlParamFomat(obj.product), SqlParamFomat(obj.materdesc), SqlParamFomat(obj.prdsize), obj.qty, SqlParamFomat(obj.subprddesc) )); } return sqlList; } private string SPF(string str) { return SqlParamFomat(string str); } //格式化sql语句的参数,在最外面添加分号 //例如 exec spLogin @UserID={0} 可以用本函数替换{0} private string SqlParamFomat(string str) { if (null != str) { string tmp = str.Replace("'", "''"); return "'" + tmp + "'"; } else { return "null"; } } private string SPFNW(string str) { return SqlParamFomatNoWrap(string str); } //格式化sql语句的参数,没有添加最外面的分号 //例如String sql = "exec spLogin @UserID='" + SPFNW(userID) + "'"; private string SqlParamFomatNoWrap(string str) { if (null != str) { string tmp = str.Replace("'", "''"); return tmp; } else { return ""; } } 2 如果必须用string+string来拼接sql我们要对每个参数进行处理 a 字符串参数必须调用SqlParamFomat()函数格式化 b 数字类型的必须检查传入的参数是数字的,才能拼接到sql中 c 日期类型,必须传入日期类型的参数,再在代码中转换为日期字符串拼接到sql中 d 布尔型,必须传入布尔型参数,再在代码中转换为1或0拼接到sql,或直接拼接 中心思想就是,拼接sql前,要保证传入的数据类型跟参数一致, 再处理好字符型的参数 因为只有字符型的参数能被注入
sql 拼接 防止注入
猜你喜欢
转载自zheyiw.iteye.com/blog/1960553
今日推荐
周排行