O Winform em C# impede a injeção de SQL

admin · Publicado em 29/01/2015 10:12:59

Passe por parâmetro:
string sql = "selecione count(*) de zhuce onde username=@username e pwd=@pwd e type = @type";
SqlConnection conn = novo SqlConnection(Common.Context.SqlManager.CONN_STRING);
         Conn. Aberto();

         SqlCommand cmd = novo SqlCommand (sql, conn);
cmd.Parameters.Add("@username",SqlDbType.VarChar,30);
cmd.Parameters.Add("@pwd",SqlDbType.VarChar,30);
cmd.Parameters.Add("@type",SqlDbType.VarChar,10);
cmd.Parâmetros["@username"]. Valor = nome de usuário;
cmd.Parâmetros["@pwd"]. Valor = pwd;
cmd.Parameters["@type"]. Valor = potência. Texto;

         contagem de int = Convert.ToInt32(cmd.ExecuteScalar());

         Conn. Fechar();

Não sei qual banco de dados você está usando
Aqui está um pedaço de código SQL-Server
A coisa mais importante para prevenir ataques de injeção não é usar parâmetros de emendamento, mas sim métodos de atribuição de parâmetros.
SqlConnection conn=......
SqlCommand comm =novo SqlCommand ("select count (*)from Table1 onde nome = @loginame e senha = @loginpassword",conn);
comunicação. Parameters.Add(new SqlParameter("@loginame",SqlDbType.NVarchar,20);
comunicação. Parâmetros["@loginame"].value=TextBox1.Text;
comunicação. Parameters.Add(new SqlParameter("@loginpassword",SqlDbType.NVarchar,20);
comunicação. Parâmetros["@loginpassword"].value=TextBox2.Text;
comunicação. Conexão.Open();
int mark=(int)comm. ExecuteScalar()
//--mark用于标记

[Comunicação] O Winform em C# impede a injeção de SQL

Posts Relacionados

Seções visualizadas