使用參數化查詢語句進行查詢的示例:
string Account =Request.Form["Account"];
string sql = "select id,Name,Account from User where Account = @Account";
SqlParameter[] values = new SqlParameter[] { //參數化查詢, 防止sql注入
new SqlParameter("@Account",Account),
};
DataTable datatable = DBHelper.GetDataTable(sql, values);
//把用戶傳到后臺的賬號Account賦值給@Account,這樣數據庫服務器不會將參數的內容視為SQL指令來處理,而是在數據庫完成SQL指令的編譯后,才套用參數運行,從而防止SQL注入。
