記事個別表示 (1461)
これは「水無月ばけらのえび日記 : SQLコマンドインジェクション自爆」に関連するコメントです。
[1461] Re: えび日記 : 「SQLコマンドインジェクション自爆」
y-Aki (2004年1月9日 9時17分)
JavaでいうPreparedStatementみたいなのはないんですかねぇ。
http://msdn.microsoft.com/library/default.asp?
url=/library/en-us/cpguide/html/cpconsecureadonetcodingguidelines.asp
より
Dim selectString As String = "SELECT * FROM Customers WHERE CustomerID = @CustomerID"
Dim cmd As SqlCommand = New SqlCommand(selectString, conn)
cmd.Parameters.Add("@CustomerID", SqlDbType.VarChar, 5).Value = custID
VBで、しかも、DataTable使ってませんが…^^;
これは「水無月ばけらのえび日記 : SQLコマンドインジェクション自爆」に関連するコメントです。
全読: [1461]Re: えび日記 : 「SQLコマンドインジェクション自爆」からのスレッド(16件)]