如何将用户输入中的单引号（'）传递给存储过程，避免 SQL 注入。

Question

17 浏览2023年5月22日

匿名的 2022年10月9日

0 Comments

这个问题已经有了答案:

如何在SQL Server中转义单引号？

我们的应用程序从前端输入用户的姓名，而有时候这个姓名中有单引号。如果姓名中包含单引号 (\')，那么我该如何将输入的姓名传递给存储过程？

我们不能直接将单引号 (\') 传递给存储过程输入，因为它可能引起SQL注入。

使用的数据库：SQL Server 2008

应用程序：ASP.NET C# 4.0

admin 更改状态以发布 2023年5月22日

0

2 答案

匿名的 · Answer 1 · 2022-10-09T20:57:58+00:00

你可以使用参数化查询。它们可以处理单引号。

你可以深入了解它，访问：链接

匿名的 · Answer 2 · 2022-10-09T20:57:58+00:00

使用参数化查询。例如，

var command = new SqlCommand("select * from person where firstname = @firstname");
SqlParameter parameter  = new SqlParameter();
parameter.ParameterName = "@firstname";
parameter.Value= "D'Jork";
command.Parameters.Add(parameter);