专家坐堂-[求助]SQLLoad的SQLCommand参数化问题Foxtable(狐表) - 新一代数据库软件，完美融合Access、Foxpro、Excel、vb.net之优势，人人都能掌握的快速软件开发工具!

以文本方式查看主题

-  Foxtable(狐表)  (http://foxtable.net/bbs/index.asp)
--  专家坐堂  (http://foxtable.net/bbs/list.asp?boardid=2)
----  [求助]SQLLoad的SQLCommand参数化问题  (http://foxtable.net/bbs/dispbbs.asp?boardid=2&id=128512)

--  作者：larjia
--  发布时间：2018/12/8 22:04:00
--  [求助]SQLLoad的SQLCommand参数化问题
SQLLoad的参数可以是SQLCommand吗？目的是为了能使用参数化SQLCommand，仅字符串的sql参数会不会不安全？

[此贴子已经被作者于2018/12/8 22:10:46编辑过]

--  作者：larjia
--  发布时间：2018/12/9 12:46:00
--
求助，这个问题怎么解决好？

--  作者：有点甜
--  发布时间：2018/12/9 15:47:00
--

以下是引用larjia在2018/12/8 22:04:00的发言：
SQLLoad的参数可以是SQLCommand吗？目的是为了能使用参数化SQLCommand，仅字符串的sql参数会不会不安全？

[此贴子已经被作者于2018/12/8 22:10:46编辑过]

sqlLoad只能用sql语句，不存在不安全的情况。得看你怎么用了。具体一点你的问题。

--  作者：larjia
--  发布时间：2018/12/9 21:45:00
--

我使用的是拼接SQL的方法，比如下面的查询界面。各个字段拼接成一个Where语句，然后使用SQLLoad。

我的问题是使用这种方式，如果假设用户在字段中写入包含SQL语句，比如类似Delete之类的，会不会造成SQL注入不安全？或者怎样做比较安全一些？

此主题相关图片如下：search.png

--  作者：有点甜
--  发布时间：2018/12/9 22:22:00
--

防止sql注入即可。

检测是否存在关键字（sqlserver关键字以及特殊字符等），如果存在，提示错误，不执行。

--  作者：larjia
--  发布时间：2018/12/10 0:07:00
--
谢谢！这么晚还给回复，赞！