??????????????洢???????????????? xp_cmdshell??
????????????????????ú???????????????о?????????????????÷????????Ч???????
????2.??????????? SQL ????
????SQL Server ?е? Parameters ????????????????????????????? Parameters ??????????????????????????????д?????? Parameters ?????????????????????????????????顣??Χ???????????????????′??????????????? Parameters ?????
????1 SqlDataAdapter myCommand = new SqlDataAdapter("AuthorLogin"?? conn);
????2 myCommand.SelectCommand.CommandType = CommandType.StoredProcedure;
????3 SqlParameter parm = myCommand.SelectCommand.Parameters.Add("@au_id"??
????4      SqlDbType.VarChar?? 11);
????5 parm.Value = Login.Text;
???????????У?@au_id ???????????????????????д??????????????????????顣??? @au_id ???????????????????????????????????
?????洢??????????δ??????????????????? SQL Injection ?????????磬???′????????????????
????SqlDataAdapter myCommand = new SqlDataAdapter("LoginStoredProcedure '" + Login.Text + "'"?? conn);
??????????洢??????????ò???????洢?????????
?????????????????????У??????????????
????3.???? SQL ????ò???????
??????????????洢????????????ò??????????′???????????
????1 SqlDataAdapter myCommand = new SqlDataAdapter(
????2 "SELECT au_lname?? au_fname FROM Authors WHERE au_id = @au_id"?? conn);
????3 SQLParameter parm = myCommand.SelectCommand.Parameters.Add("@au_id"??
????4  SqlDbType.VarChar?? 11);
????5 Parm.Value = Login.Text;
???????????????????????????????????2??????????????????????????????proc??????????????????
????4.??????
????????????????????????????????????? SQL ??????????????????????????????????????????????????????????????????????????????
????1 private string SafeSqlLiteral(string inputSQL)
????2 {
????3   return inputSQL.Replace("'"?? "''");
????4 }
???????Filtering Input???????????1
????5.LIKE ???
???????????????? LIKE ???????????????????????壺
????1
????2 s = s.Replace("["?? "[[]");
????3 s = s.Replace("%"?? "[%]");
????4 s = s.Replace("_"?? "[_]");
??????????like???????????Ч???????????????????????
???????????з??????????????????????????????????????????в???????????????в?????????????????????????????.