怎么防止：参数化sql查询怎么防止sql注入

参数化sql查询怎样避免SQL注入

使用参数化查询语句进行查询的示例：

string Account =Request.Form["Account"]; 
string sql = "select id,Name,Account from User where Account = @Account";
SqlParameter[] values = new SqlParameter[] { //参数化查询， 避免sql注入
new SqlParameter("@Account",Account),
};
DataTable datatable = DBHelper.GetDataTable(sql, values);
//把用户传到后台的账号Account赋值给@Account，这样数据库服务器不会将参数的内容视为SQL指令来处理，而是在数据库完成SQL指令的编译后，才套用参数运行，从而避免SQL注入。

本文来源：https://www.yuntue.com/post/62090.html | 云服务器网，转载请注明出处！