Pase por parámetro:
string sql = "seleccionar count(*) de zhuce donde username=@username y pwd=@pwd y type = @type";
SqlConnection conn = nuevo SqlConnection(Common.Context.SqlManager.CONN_STRING);
Conn. Abierto();
SqlCommand cmd = nuevo SqlCommand (sql, conn);
cmd.Parameters.Add("@username",SqlDbType.VarChar,30);
cmd.Parameters.Add("@pwd",SqlDbType.VarChar,30);
cmd.Parameters.Add("@type",SqlDbType.VarChar,10);
cmd.Parameters["@username"]. Valor = nombre de usuario;
cmd.Parameters["@pwd"]. Valor = pwd;
cmd.Parameters["@type"]. Valor = potencia. Mensaje de texto;
conteo de int = Convert.ToInt32(cmd.ExecuteScalar());
Conn. Cerca();
No estoy seguro de qué base de datos estás usando
Aquí tienes un fragmento de código SQL-Server
Lo más importante para prevenir ataques por inyección no es usar parámetros de empalme, sino métodos de asignación de parámetros.
SqlConnection conn=......
SqlCommand comm =new SqlCommand ("select count (*)from Table1 donde nombre = @loginame y contraseña = @loginpassword",conn);
comm. Parameters.Add(new SqlParameter("@loginame",SqlDbType.NVarchar,20);
comm. Parámetros["@loginame"].value=TextBox1.Text;
comm. Parameters.Add(new SqlParameter("@loginpassword",SqlDbType.NVarchar,20);
comm. Parameters["@loginpassword"].value=TextBox2.Text;
comm. Conexión.Abierto();
int mark=(int)comm. ExecuteScalar()
//--mark用于标记 |
Publicado en 29/1/2015 10:12:59
|
|
|
