- ベストアンサー
VB.NETでテキストボックスからデータベースに登録するときの文字制御
VB.NETでWebページを作っているのですが、 名前を入れるテキストボックスにどうやって制御したらいいか考えています。 「'」や、「,」とかや「\」など、皆様はどのような、文字を制御しているでしょうか? 名前をいれるテキストボックスは、SQL-Serverデータベースに登録するようになっています。 (1)制御する文字 (2)制御方法 を教えてくださいー
- Haule
- お礼率52% (125/240)
- SQL Server
- 回答数1
- ありがとう数1
- みんなの回答 (1)
- 専門家の回答
質問者が選んだベストアンサー
1つ目の方法としては、 DB に作成したストアド プロシージャのパラメータを使っているので制御の必要なし。 2つ目の方法としては、 DataAdapter の InsertCommand や UpdateCommand で Parameter を使うので、結局コレもストアド プロシージャのパラメータと同じ理由から制御の必要なし。 たぶん Haule さんが行っている方法はプログラムの中で動的に SQL 文を作成されていると思いますが、これらは "SQL インジェクション" と呼ばれるセキュリティホールになりやすいので、なるべくパラメータを使用した方法にしたほうがいいですよ。 SQL インジェクションについては http://www.google.com/search?hl=ja&lr=lang_ja&ie=UTF-8&oe=UTF-8&q=%22SQL+%E3%82%A4%E3%83%B3%E3%82%B8%E3%82%A7%E3%82%AF%E3%82%B7%E3%83%A7%E3%83%B3%22&num=50 とか http://msdn2.microsoft.com/ja-jp/library/ms161953.aspx
お礼
ありがとうございました! SQLインジェクションの対応をしてみたいと思います。