VB.NETでテキストボックスからデータベースに登録するときの文字制御

VB.NETでWebページを作っているのですが、
名前を入れるテキストボックスにどうやって制御したらいいか考えています。
「'」や、「,」とかや「\」など、皆様はどのような、文字を制御しているでしょうか？
名前をいれるテキストボックスは、SQL-Serverデータベースに登録するようになっています。

(1)制御する文字
(2)制御方法
を教えてくださいー

No.1 ベストアンサー 回答者： temtecomai2 回答日時： 2006/03/05 16:21

1つ目の方法としては、

DB に作成したストアド プロシージャのパラメータを使っているので制御の必要なし。

2つ目の方法としては、
DataAdapter の InsertCommand や UpdateCommand で Parameter を使うので、結局コレもストアド プロシージャのパラメータと同じ理由から制御の必要なし。

たぶん Haule さんが行っている方法はプログラムの中で動的に SQL 文を作成されていると思いますが、これらは "SQL インジェクション" と呼ばれるセキュリティホールになりやすいので、なるべくパラメータを使用した方法にしたほうがいいですよ。

SQL インジェクションについては
http://www.google.com/search?hl=ja&lr=lang_ja&ie …
とか
http://msdn2.microsoft.com/ja-jp/library/ms16195 …

この回答へのお礼

ありがとうございました！
SQLインジェクションの対応をしてみたいと思います。

お礼日時：2006/04/15 16:38