Параметър по преминаване:
String sql = "Изберете Count(*) от Zhuce, където потребителско име=@username и pwd=@pwd и тип = @type";
SqlConnection conn = нов SqlConnection(Common.Context.SqlManager.CONN_STRING);
Кон. Open();
SqlCommand cmd = новият SqlCommand (sql, conn);
cmd.Parameters.Add("@username",SqlDbType.VarChar,30);
cmd.Parameters.Add("@pwd",SqlDbType.VarChar,30);
cmd.Parameters.Add("@type",SqlDbType.VarChar,10);
cmd.Parameters["@username"]. Value = потребителско име;
cmd.Parameters["@pwd"]. Стойност = PWD;
cmd.Parameters["@type"]. Стойност = власт. Текст;
int брой = Convert.ToInt32(cmd.ExecuteScalar());
Кон. Close();
Не съм сигурен коя база данни използваш
Ето един фрагмент от SQL-Server код
Най-важното за предотвратяване на инжекционни атаки не е да се използват параметри за сплайсинг, а методи за присвояване на параметри.
SqlConnection conn=......
SqlCommand comm =new SqlCommand ("изберете брой (*)от Таблица 1, където име = @loginame и парола = @loginpassword",conn);
комуникации. Parameters.Add(new SqlParameter("@loginame",SqlDbType.NVarchar,20);
комуникации. Parameters["@loginame"].value=TextBox1.Text;
комуникации. Parameters.Add(new SqlParameter("@loginpassword",SqlDbType.NVarchar,20);
комуникации. Parameters["@loginpassword"].value=TextBox2.Text;
комуникации. Connection.Open();
int mark=(int)comm. ExecuteScalar()
//--mark用于标记 |
Публикувано в 29.01.2015 г. 10:12:59 ч.
|
|
|
