En una de mis clases para una aplicación web que estoy desarrollando, tengo algunas consultas SQL razonablemente largas.Mejorando la legibilidad del código para comandos SQL
Al desarrollar una aplicación de tres niveles, ¿cuáles son las mejores prácticas para hacer que este tipo de código sea más ordenado?
Dim dc As New SqlCommand("INSERT INTO Choices VALUES ('" + _
SanitizeInput(strUser) + "', '" + _
SanitizeInput(strFirstHalfDay) + "', '" + _
SanitizeInput(strSecondHalfDay) + "', '" + _
SanitizeInput(strFullDay) + "', " + _
SanitizeInput(Convert.ToInt32(firstHalfPaid).ToString()) + ", " + _
SanitizeInput(Convert.ToInt32(secondHalfPaid).ToString()) + ", " + _
SanitizeInput(Convert.ToInt32(fullPaid).ToString()) + ")", cn)
¿Considera que este tipo de código es aceptable o apestoso?
Muchas gracias. ¿Esto evitará SQL Injection y XSS? – RodgerB
Esto evitará la inyección de SQL pero no XSS, por lo que su función de desinfección debe buscar XSS pero no para inyección de SQL. – albertein
Missing matching close) s – Josh