[ASP ] SqlDataSource 的sqlinject
各位大大好,小弟寫了一個程式
有一個 SqlDataSource 及 textbox 及button
我想做做一個查詢系統(用sql 的like去做)
目前執行是OK的-->依照精靈的做法可以抓到全部資料
但做到查詢時,卻有一點問題,程式碼如下:
但是卻發現它的寫有sql inject 的問題,
請問它該如何避免??(除了用程式去判斷外)
是否有類似
Dim sqlPara As New SqlParameter()
程式如下:
SqlDataSource1.SelectParameters.Clear()
SqlDataSource1.SelectCommand = "SELECT * FROM [class_tb] where
class_nm like '%" & TextBox1.Text & "%'"
GridView1.DataSourceID = "SqlDataSource1"
--
※ 發信站: 批踢踢實業坊(ptt.cc)
◆ From: 114.40.194.151
推
01/17 21:33, , 1F
01/17 21:33, 1F
推
01/17 23:30, , 2F
01/17 23:30, 2F
→
01/17 23:32, , 3F
01/17 23:32, 3F
→
01/17 23:33, , 4F
01/17 23:33, 4F