C# winform mencegah injeksi sql

Admin · Diposting pada 29/01/2015 10.12.59

Lulus berdasarkan parameter:
string sql = "pilih count(*) dari zhuce di mana username=@username dan pwd=@pwd dan ketik = @type";
SqlConnection conn = SqlConnection(Common.Context.SqlManager.CONN_STRING) baru;
         conn. Buka ();

         SqlCommand cmd = SqlCommand baru (sql, conn);
cmd.Parameters.Add("@username",SqlDbType.VarChar,30);
cmd.Parameters.Add("@pwd",SqlDbType.VarChar,30);
cmd.Parameters.Add("@type",SqlDbType.VarChar,10);
cmd.Parameters["@username"]. Nilai = nama pengguna;
cmd.Parameters["@pwd"]. Nilai = disatika;
cmd.Parameters["@type"]. Nilai = kekuatan. Teks;

         int count = Convert.ToInt32(cmd.ExecuteScalar());

         conn. Tutup();

Tidak yakin database apa yang Anda gunakan
Berikut adalah sepotong kode SQL-Server
Hal terpenting untuk mencegah serangan injeksi adalah tidak menggunakan parameter penyambungan, tetapi menggunakan metode penetapan parameter.
Koneksi Sql=......
SqlCommand comm = SqlCommand baru ("pilih hitungan (*) dari Tabel1 di mana nama = @loginame dan kata sandi = @loginpassword",conn);
komunikasi. Parameter.Add(SqlParameter baru("@loginame",SqlDbType.NVarchar,20);
komunikasi. Parameter["@loginame"].value=Kotak Teks1.Teks;
komunikasi. Parameters.Add(SqlParameter baru("@loginpassword",SqlDbType.NVarchar,20);
komunikasi. Parameter["@loginpassword"].value=Kotak Teks2.Teks;
komunikasi. Koneksi.Buka();
int mark=(int)comm. JalankanSkalar()
//--mark用于标记

[Komunikasi] C# winform mencegah injeksi sql

Pos terkait

Bagian yang dilihat