Trece după parametru:
string sql = "selectează count(*) din zhuce unde username=@username și pwd=@pwd și tip = @type";
SqlConnection conn = SqlConnection nou(Common.Context.SqlManager.CONN_STRING);
Conn. Open();
SqlCommand cmd = new SqlCommand(sql, conn);
cmd.Parameters.Add("@username",SqlDbType.VarChar,30);
cmd.Parameters.Add("@pwd",SqlDbType.VarChar,30);
cmd.Parameters.Add("@type",SqlDbType.VarChar,10);
cmd.Parameters["@username"]. Valoare = nume utilizator;
cmd.Parameters["@pwd"]. Valoare = pwd;
cmd.Parameters["@type"]. Valoare = putere. Text;
număr de informații = Convert.ToInt32(cmd.ExecuteScalar());
Conn. Apropiat();
Nu sunt sigur ce bază de date folosești
Iată o bucată de cod SQL-Server
Cel mai important lucru pentru a preveni atacurile prin injecție nu este să folosești parametri de splicing, ci metode de alocare a parametrilor.
SqlConnection conn=......
SqlCommand comm =new SqlCommand ("select count (*)din Tabel1 unde numele = @loginame și parola = @loginpassword",conn);
comm. Parameters.Add(new SqlParameter("@loginame",SqlDbType.NVarchar,20);
comm. Parameters["@loginame"].value=TextBox1.Text;
comm. Parameters.Add(new SqlParameter("@loginpassword",SqlDbType.NVarchar,20);
comm. Parametri["@loginpassword"].value=TextBox2.Text;
comm. Conexiune.Open();
int mark=(int)comm. ExecuteScalar()
//--mark用于标记 |
Postat pe 29.01.2015 10:12:59
|
|
|
