Läbiv parameeter:
string SQL = "vali loend (*) zhuce'ist, kus kasutajanimi=@username ja pwd=@pwd ning tüüp = @type";
SqlConnection conn = uus SqlConnection(Common.Context.SqlManager.CONN_STRING);
Conn. Open();
SqlCommand cmd = uus SqlCommand (sql, conn);
cmd.Parameters.Add("@username",SqlDbType.VarChar,30);
cmd.Parameters.Add("@pwd",SqlDbType.VarChar,30);
cmd.Parameters.Add("@type",SqlDbType.VarChar,10);
cmd.Parameters["@username"]. Value = kasutajanimi;
cmd.Parameters["@pwd"]. Väärtus = pwd;
cmd.Parameters["@type"]. Väärtus = võimsus. Tekst;
int number = Convert.ToInt32(cmd.ExecuteScalar());
Conn. Close();
Ei tea, millist andmebaasi sa kasutad
Siin on tükk SQL-Serveri koodi
Kõige olulisem süstimisrünnakute vältimiseks ei ole kasutada splicing-parameetreid, vaid kasutada parameetrite määramise meetodeid.
SqlConnection conn=......
SqlCommand comm = uus SqlCommand ("vali arv (*)tabelist 1, kus nimi = @loginame ja parool = @loginpassword", conn);
Side. Parameters.Add(new SqlParameter("@loginame",SqlDbType.NVarchar,20);
Side. Parameetrid["@loginame"].value=TextBox1.Text;
Side. Parameters.Add(uus SqlParameter("@loginpassword",SqlDbType.NVarchar,20);
Side. Parameetrid["@loginpassword"].value=TextBox2.Text;
Side. Connection.Open();
int mark=(int)comm. ExecuteScalar()
//--mark用于标记 |
Postitatud 29.01.2015 10:12:59
|
|
|
