如题,难道字符串拼接没有办法有效防止sql注入吗,必须要改用传参的方式?
------解决思路----------------------
可以防止呀,过虑某些字符就成。
------解决思路----------------------
'过滤SQL字符串
Public Shared Function CheckStr(ByVal Str As String) As String
Dim Tmp As String
If Str = "" Or IsDBNull(Str) Then
Tmp = ""
Else
Str = Replace(Str, Chr(0), "")
Tmp = Replace(Str, "'", "''")
End If
Return Tmp
End Function
------解决思路----------------------
上面删除引用:
这些我都和他说过,他不听,非得让改,一个查询,近20个条件,参数化,不说了