推 brian90191:不要拉sqldatasource了吧 ,自己SqlParameters來做查詢 01/17 21:33
推 fumizuki:datasource 可以設定參數啊 為什麼還要自己拼語法... 01/17 23:30
→ fumizuki:而且為何還刻意清空參數 01/17 23:32
→ fumizuki:如果要用like的話可以改成 charindex(@p1, class_nm)>0 01/17 23:33
各位大大好,小弟寫了一個程式
有一個 SqlDataSource 及 textbox 及button
我想做做一個查詢系統(用sql 的like去做)
目前執行是OK的-->依照精靈的做法可以抓到全部資料
但做到查詢時,卻有一點問題,程式碼如下:
但是卻發現它的寫有sql inject 的問題,
請問它該如何避免??(除了用程式去判斷外)
是否有類似
Dim sqlPara As New SqlParameter()
程式如下:
SqlDataSource1.SelectParameters.Clear()
SqlDataSource1.SelectCommand = "SELECT * FROM [class_tb] where
class_nm like '%" & TextBox1.Text & "%'"
GridView1.DataSourceID = "SqlDataSource1"
--
※ 發信站: 批踢踢實業坊(ptt.cc)
◆ From: 114.40.194.151