Dim NER as String
Dim SqlQuery as String
NER = Request.QueryString("NER")
SqlQuery = "SELECT lname, fname FROM users WHERE user_id = '" + NER + "'"
Хэвийн ажиллагаа
' Дээрх кодыг агуулж буй хуудас ингэж дуудагдан ажиллана
http://yourwebsite.mn/userlist.aspx?NER=Yourname
' Database дээр ажиллах Query
SELECT lname, fname FROM authors WHERE user_id = 'Yourname'
Дайралт
' Дээрх кодыг агуулж буй хуудас ингэж дуудагдан ажиллана
http://yourwebsite.mn/userlist.aspx?NER=';SQL... --
' Database дээр ажиллах query
SELECT lname, fname FROM authors WHERE user_id = '';SQL ... --
Хамгаалалт
Dim NER as String = Request.QueryString("NER")
Dim cmd As new SqlCommand("SELECT lname, fname FROM authors
WHERE au_id = @au_id")
Dim param = new SqlParameter("au_id", SqlDbType.VarChar)
param.Value = NER
cmd.Parameters.Add(param)
...