Параметр прохождения по параметру:
строка sql = "выбрать count(*) из zhuce, где username=@username и pwd=@pwd а type = @type";
SqlConnection conn = новый SqlConnection(Common.Context.SqlManager.CONN_STRING);
КОНН. Open();
SqlCommand cmd = новый SqlCommand (sql, conn);
cmd.Parameters.Add("@username",SqlDbType.VarChar,30);
cmd.Parameters.Add("@pwd",SqlDbType.VarChar,30);
cmd.Parameters.Add("@type",SqlDbType.VarChar,10);
cmd.Parameters["@username"]. Value = имя пользователя;
cmd.Parameters["@pwd"]. Value = PWD;
cmd.Parameters["@type"]. Значение = мощность. СМС;
int count = Convert.ToInt32(cmd.ExecuteScalar());
КОНН. Close();
Не уверен, какую базу данных вы используете
Вот фрагмент кода SQL-Server
Самое важное для предотвращения инъекционных атак — не использовать параметры сплайсинга, а методы назначения параметров.
SqlConnection conn=......
SqlCommand comm =new SqlCommand ("выберите count (*)из таблицы 1, где name = @loginame и password = @loginpassword",conn);
Связь. Parameters.Add(new SqlParameter("@loginame",SqlDbType.NVarchar,20);
Связь. Parameters["@loginame"].value=TextBox1.Text;
Связь. Parameters.Add(new SqlParameter("@loginpassword",SqlDbType.NVarchar,20);
Связь. Parameters["@loginpassword"].value=TextBox2.Text;
Связь. Connection.Open();
int mark=(int)comm. ExecuteScalar()
//--mark用于标记 |
Опубликовано 29.01.2015 10:12:59
|
|
|
