Pass etter parameter:
streng sql = "velg antall(*) fra zhuce hvor brukernavn=@username og pwd=@pwd og type = @type";
SqlConnection conn = ny SqlConnection(Common.Context.SqlManager.CONN_STRING);
Conn. Open();
SqlCommand cmd = ny SqlCommand (sql, conn);
cmd.Parameters.Add("@username",SqlDbType.VarChar,30);
cmd.Parameters.Add("@pwd",SqlDbType.VarChar,30);
cmd.Parameters.Add("@type",SqlDbType.VarChar,10);
cmd.Parameters["@username"]. Verdi = brukernavn;
cmd.Parameters["@pwd"]. Verdi = pwd;
cmd.Parameters["@type"]. Verdi = kraft. Tekst;
int count = Convert.ToInt32(cmd.ExecuteScalar());
Conn. Close();
Usikker på hvilken database du bruker
Her er et stykke SQL-Server-kode
Det viktigste for å forhindre injeksjonsangrep er ikke å bruke spleisingsparametere, men å bruke parametertildelingsmetoder.
SqlConnection conn=......
SqlCommand comm =ny SqlCommand ("velg antall (*) fra tabell1 hvor navn = @loginame og passord = @loginpassword",conn);
Comm. Parameters.Add (ny SqlParameter("@loginame",SqlDbType.NVarchar,20);
Comm. Parameters["@loginame"].value=TextBox1.Text;
Comm. Parameters.Add (ny SqlParameter("@loginpassword",SqlDbType.NVarchar,20);
Comm. Parameters["@loginpassword"].value=TextBox2.Text;
Comm. Connection.Open();
int=(int)comm. ExecuteScalar()
//--mark用于标记 |
Publisert på 29.01.2015 10:12:59
|
|
|
