Caurlaides parametrs:
string sql = "izvēlieties count(*) no zhuce, kur lietotājvārds=@username un pwd=@pwd un tips = @type";
SqlConnection conn = jauns SqlConnection(Common.Context.SqlManager.CONN_STRING);
Conn. Atvērts();
SqlCommand cmd = jauns SqlCommand(sql, conn);
cmd.Parameters.Add("@username",SqlDbType.VarChar,30);
cmd.Parameters.Add("@pwd",SqlDbType.VarChar,30);
cmd.Parameters.Add("@type",SqlDbType.VarChar,10);
cmd.Parameters["@username"]. Vērtība = lietotājvārds;
cmd.Parameters["@pwd"]. Vērtība = pwd;
cmd.Parameters["@type"]. Vērtība = jauda. Teksts;
int skaits = Convert.ToInt32(cmd.ExecuteScalar());
Conn. Aizvērt ();
Neesat pārliecināts, kādu datu bāzi izmantojat
Šeit ir SQL-Server koda gabals
Vissvarīgākais, lai novērstu injekcijas uzbrukumus, nav izmantot savienošanas parametrus, bet izmantot parametru piešķiršanas metodes.
SqlConnection conn=......
SqlCommand comm = jauns SqlCommand ("atlasiet skaitu (*) no tabulas1, kur vārds = @loginame un parole = @loginpassword",conn);
comm. Parameters.Add(jauns SqlParameter("@loginame",SqlDbType.NVarchar,20);
comm. Parameters["@loginame"].value=TextBox1.Text;
comm. Parameters.Add(jauns SqlParameter("@loginpassword",SqlDbType.NVarchar,20);
comm. Parameters["@loginpassword"].value=TextBox2.Text;
comm. Savienojums.Atvērts();
int mark=(int)comm. ExecuteScalar()
//--mark用于标记 |
Publicēts 29.01.2015 10:12:59
|
|
|
