參數(shù)化查詢是一種用于防止SQL注入攻擊的重要技術。在C#中使用ADO.NET進行參數(shù)化查詢的方法如下:
string sql = "SELECT * FROM Users WHERE Username = @Username";
SqlCommand cmd = new SqlCommand(sql, conn);
cmd.Parameters.AddWithValue("@Username", username);
using (SqlDataReader reader = cmd.ExecuteReader())
{
while (reader.Read())
{
// 處理查詢結(jié)果
}
}
通過使用參數(shù)化查詢,可以確保輸入的值不會被解釋為SQL代碼,從而有效防止SQL注入攻擊。此外,參數(shù)化查詢還可以提高查詢性能,因為數(shù)據(jù)庫引擎可以對參數(shù)進行優(yōu)化。