Zum Beispiel ist dies der Code, den ich verwende:ist es sicher mit dynamischem SQL mit Parametern? Falls nicht, welchen Sicherheitsproblemen könnte es ausgesetzt sein?
String commandString = "UPDATE Members SET UserName = @newName , AdminLevel = @userLevel WHERE UserID = @userid";
using (SqlConnection conn = new SqlConnection(ConfigurationManager.ConnectionStrings["sqlconnectionstring"].ConnectionString))
{
SqlCommand cmd = new SqlCommand(commandString, conn);
cmd.Parameters.Add("@newName", newName);
cmd.Parameters.Add("@userLevel", userLevel);
cmd.Parameters.Add("@userid", userid);
conn.Open();
cmd.ExecuteReader();
Reader.Close();
}
Das ist die bevorzugte, sichere Art und Weise es zu tun (Bare einige subtile Fehler, die ich vermisse) – Greg
tolle Antworten Jungs! Bin dankbar!! – RoundOutTooSoon