CIO Tech Eksperten IT-JOB IT-Kurser Events Podcast Søg

Log ind eller opret profil

Du kan også logge ind via nedenstående tjenester

cigaretten Nybegynder

05. oktober 2007 - 03:09 Der er 5 kommentarer

escape string til mysql

i php findes der en funktion ved navn mysql_real_escape_string til at undgå sql-injections ved indsættelse af mysql data.. hvad hedder sådan en funktion i asp.net ??

cigaretten.

Synes godt om

arne_v Ekspert

05. oktober 2007 - 03:12 #1

Ingenting.

Man bruger nemlig parameters i.s.f. !

Læs http://www.eksperten.dk/artikler/831 ...

(og ja - det kan også bruges med MySQL)

Synes godt om

arne_v Ekspert

05. oktober 2007 - 03:16 #2

En kode snippet:

MySqlConnection con = new MySqlConnection(CONNSTR);
con.Open();
MySqlCommand ins = new MySqlCommand("INSERT INTO daf VALUES (?id, ?path)", con);
ins.Parameters.Add("?id", MySqlDbType.Int32);
ins.Parameters.Add("?path", MySqlDbType.VarChar);
...
ins.Parameters["?id"].Value = i;
ins.Parameters["?path"].Value = fnm;
ins.ExecuteNonQuery();
...
con.Close();

Synes godt om

cigaretten Nybegynder

05. oktober 2007 - 03:18 #3

kunne man ikke lave en funktion som automatisk returnede den valideret string ?

...

function __isValid ( @string )
{
return @string.Replace("'","");
}

f.eks ?? ville det ikke være bedst? også kunne man lave
"INSERT INTO a (b) values ('__isValid('hell'hell')')"
?

Synes godt om

cigaretten Nybegynder

05. oktober 2007 - 03:22 #4

INSERT INTO brugere (brugernavn, kodeord, email) VALUES ('" + user.Replace("'","''") + "','" + pass.Replace("'","''") + "','" + mail.Replace("'","''") + "')

det kan da stadig fuskes hvis man så indtaster '' OR name='
-->
INSERT INTO brugere (brugernavn) VALUES ('''' or name='')

Synes godt om

arne_v Ekspert

05. oktober 2007 - 04:20 #5

Hvis du bruger parameters så laver ADO.NET provideren selv al den nødvendige escaping.

Synes godt om

Ny bruger Nybegynder

Din løsning...

Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.

Følg dette spørgsmål

Opret Preview

Se alle it-kurser fra Computerworld Kurser

IT-kurser om Microsoft 365, sikkerhed, personlig vækst, udvikling, digital markedsføring, grafisk design, SAP og forretningsanalyse.

Se alle it-kurser

Flere spørgsmål fra ASP.NET kategorien

Titel	Indlæg	Oprettet	Seneste aktivitet
valgte i checkboks og comboboks opdater gui og backend Af keepy i ASP.NET	0	01/10/202318:39	-
Webservice Af SommerFyr i ASP.NET	19	11/05/202313:43	31/05/202315:08
ASP:Image og JPG/PDF Af TV47 i ASP.NET	4	25/03/202318:49	31/03/202310:24
www til non-www og HTTPS Af KOH i ASP.NET	2	16/03/202312:31	22/03/202310:19
Window.Open og passing af parameter Af TV47 i ASP.NET	1	14/07/202215:22	20/08/202213:03

Se alle spørgsmål i kategorien Opret spørgsmål

Log ind eller opret profil

Hov!

For at kunne deltage på Computerworld Eksperten skal du være logget ind.

Det er heldigvis nemt at oprette en bruger: Det tager to minutter og du kan vælge at bruge enten e-mail, Facebook eller Google som login.

Du kan også logge ind via nedenstående tjenester

Alle kategorier på Eksperten

Seneste artiklerRSS