请教组长的问题

   public string Dtitle
        {
            set { _dtitle = value; }
            get { return sdh.dbExecuteSql4Values("select Dtitle from DS_diary where Did='" + _did + "'"); }
        }
        /// <summary>
        /// 日志内容
        /// </summary>
        public string Dcontent
        {
            set { _dcontent = value; }
            get { return sdh.dbExecuteSql4Values("select Dcontent from DS_diary where Did='" + _did + "'"); }
        }
   这个是一个类里的，组长你说这么传_did不好容易被黑，可是应该怎么改呢？改成传参是什么意思呢？

posted @ 2007-09-26 19:34 Have a try 阅读(17) 评论(2) 编辑收藏

发表评论

回复引用查看

#1楼 2007-09-26 20:12 | 阿滨

你这个存在SQL注入
使用SQL参数化。。网上很多粒子
或者你执行过滤明感字符
SqlCommand cmd =new SqlCommand();
cmd.SqlParameter.add(new SqlParamerte("@id",数据库对应列类型))
cmd.SqlParameters[0].value=给参数传值

回复引用查看

#2楼 2007-09-26 21:03 | 张玉丰

早说了，一定要参数化，像楼上的这位说的一样。

社区新闻新用户注册刷新评论列表

标题

姓名

主页

(只有博主才能看到)