※ 引述《sunflier (叮噹)》之銘言： : 若是要將讓程式去接觸到sql server的時候，總免不了 : 會要考慮到sql injection的問題。 記得買本書先看~ 我買書，若看到作者執行sqlcommand沒有避開sql injection 我就不會買那本。 答案是使用SqlParameter，如: int id = 1; cmd.CommandText = "DELETE FROM table WHERE id=@id"; cmd.Parameter.Add("@id", id) cmd.ExecuteNonQuery(); 反推，我學java時也會注意sql injection的問題 它沒強調，但其PreparedStatement能避開，我測過!! 學php時，至目前只能用addslashe()一個一個加，蠻原始的。 至於asp，看書說有parameter物件，但不知怎麼用... 以上，是我大概學主流web語言的經驗。 -- 貫徹分享精神 我為人人，人人為我 -- ※ 發信站: 批踢踢實業坊(ptt.cc) ◆ From: 140.119.183.211