سلام
چطور میشه کدهای sql نوشته شده در یک سایت را بصورت پارامتری تبدیل کرد؟ آیا نرم افزار یا روش خاصی هست یا حتما باید دستی و یا SQL این کار را کرد؟
مثلا
txtUserId = getRequestString("UserId"); txtSQL = "SELECT * FROM Users WHERE UserId = " + txtUserId;
تبدیل به
txtUserId = getRequestString("UserId"); sql = "SELECT * FROM Customers WHERE CustomerId = @0"; command = new SqlCommand(sql); command.Parameters.AddWithValue("@0",txtUserID); command.ExecuteReader();
و آیا روشی برای نمایش و حل SQL Injection وجود داره؟ غیر از دستی
شما خودتون باید پارامتر دهی کنید
و در شیوه پارامتر دهی دیگه Sql injection اتفاق نخواهد افتاد
یا میتونید از Store procedure استفاده کنید
هیچ کاربری تا کنون از این پست تشکر نکرده است
با ما تماس بگیرید تا در این مسیر همراهتان باشیم :)