参数化查询(Parameterized Query 或 Parameterized Statement)是指在设计与数据库链接并访问数据时,在需要填入数值或数据的地方,使用参数 (Parameter) 来给值,这个方法目前已被视为最有效可预防SQL注入攻击 (SQL Injection) 的攻击手法的防御方式。
在使用参数化查询的情况下,数据库服务器不会将参数的内容视为SQL指令的一部份来处理,而是在数据库完成 SQL 指令的编译后,才套用参数运行,因此就算参数中含有恶意的指令,由于已经编译完成,就不会被数据库所运行。(这两段摘自百度百科,/view/3061939.htm)
----
try{using (var connection = new SqlConnection(PubConstant.ConnectionString)){connection.Open();SqlCommand command = new SqlCommand("insert into FeedbackData(username, avatar, title, location, content, datetime)" +" values(@username, @avatar, @title, @location, @content, @datetime)");SqlParameter parameter = null;parameter = new SqlParameter("@username", SqlDbType.NVarChar);parameter.Value = item.Username;command.Parameters.Add(parameter);parameter = new SqlParameter("@avatar", SqlDbType.NVarChar);parameter.Value = item.Avatar;command.Parameters.Add(parameter);parameter = new SqlParameter("@title", SqlDbType.NVarChar);parameter.Value = item.Title;command.Parameters.Add(parameter);parameter = new SqlParameter("@location", SqlDbType.NVarChar);parameter.Value = item.Location;command.Parameters.Add(parameter);parameter = new SqlParameter("@content", SqlDbType.NVarChar);parameter.Value = item.Content;command.Parameters.Add(parameter);parameter = new SqlParameter("@datetime", SqlDbType.DateTime);parameter.Value = item.Datetime;command.Parameters.Add(parameter);command.Connection = connection;command.ExecuteNonQuery();connection.Close();return true;}}catch (Exception ex){return false;}
