回答率: 85.30%

質問するログイン新規登録

トップに関する質問 C#のSQLインジェクション対策について

編集履歴

質問編集履歴

1

コードの書き直し

2020/12/08 02:24

投稿

スコア4

title CHANGED Viewed

File without changes

body CHANGED Viewed

@@ -35,4 +35,35 @@
 ### 試したこと
+```C#
+using System;
+using Npgsql;
+namespace C
+{
+	class Data_Select
+	{
+		public Select(string storage)
+		{
+			//接続文字列
-このコード(少し変えてます)でデータの取得などはできるのですが、例えばstorageの部分にSQLインジェクション対策をするとすればどのような方法があるのか教えていただきたいです。分かりやすい解説サイトなどを張っていただけるだけでもありがたいです。
+			string conn_str = "Server=111.111.11.111;Port=5432;User ID=postgres;Database=111;Password=111;Enlist=true";
+			using (NpgsqlConnection conn = new NpgsqlConnection(conn_str))
+			{
+				conn.Open();
+					using (NpgsqlCommand command = new NpgsqlCommand(@" select * FROM syain WHERE id = :value1", conn))
+				{
+					command.Parameters.Add(new NpgsqlParameter("value1", NpgsqlDbType.Integer));
+					command.Parameters[0].Value =int.Parse(storage);
+　　　　　　　　　　　　　　　　　　　　　　//command.Parameters[1].Value =int.Parse(storage1);
+                                        //command.Parameters[1].Value =int.Parse(storage2);
+                                       //ここに一個一個挿入する値を書く？
+					//クエリ実行
+					using (NpgsqlDataReader dr = command.ExecuteReader())
+					{}
+				conn.Close();
+			}
+		}
+	}
+}
+```
+とあるサイトを参考に書いてみて実行も出来たのですが、これでSQLインジェクション対策はできているのでしょうか？